Ngày 26/02/2026 – Dự án ví thông minh DeFAI Holdstation có trụ sở tại Việt Nam (xây dựng trên Worldcoin và BNB Chain) xác nhận đã trở thành nạn nhân của một vụ tấn công chuỗi cung ứng nghiêm trọng vào rạng sáng 25/02/2026. Tổng thiệt hại được ghi nhận là 462.000 USDT.
Đây là sự cố bảo mật thứ hai của dự án trong năm 2026, sau vụ thất thoát khoảng 100.000 USD hồi tháng 1.
Tấn công chuỗi cung ứng: Không đánh vào smart contract mà vào hạ tầng phân phối
Theo thông báo chính thức, hacker không xâm nhập trực tiếp vào ví người dùng hay hợp đồng thông minh. Phía Holdstation và đơn vị kiểm toán Verichains khẳng định các smart contract vẫn an toàn.
Thay vào đó, kẻ tấn công nhắm vào hạ tầng phân phối ứng dụng – nơi cung cấp các bản cập nhật cho người dùng.
Cụ thể, hacker đã:
Sau khi kiểm soát hạ tầng, attacker chỉnh sửa file JavaScript trong phiên bản ứng dụng chính thức, chèn mã độc dưới dạng backdoor. Người dùng khi cập nhật ứng dụng đã vô tình cài đặt phiên bản bị nhiễm mã độc.
Cơ chế rút tiền “im lặng”
Mã độc được thiết kế để hoạt động ngay sau khi cài đặt:
Hậu quả là nhiều ví bị rút tiền chỉ trong vài phút đầu tiên kể từ khi bản cập nhật độc hại được phát hành.
Phản ứng khẩn cấp trong vòng 30 phút của Holdstation
Theo dòng thời gian được công bố (UTC+7):
Sau đó, Holdstation phối hợp với Verichains để phân tích dữ liệu on-chain và thu thập bằng chứng phục vụ điều tra.
Tổng thiệt hại được xác nhận hiện tại là 462.000 USDT.
Cam kết hoàn trả 100% cho người dùng
Holdstation cam kết bồi thường 100% giá trị tài sản bị ảnh hưởng. Người dùng cần điền biểu mẫu chính thức tại:
https://forms.gle/9FriUzFWHx6ZPXCS7
Đội ngũ sẽ tiến hành xác minh on-chain và xác thực quyền sở hữu ví trước khi hoàn trả. Dự án nhấn mạnh không yêu cầu seed phrase, private key hay bất kỳ khoản phí nào trong quá trình bồi thường.
Bài học bảo mật cho ngành
Sự cố cho thấy ngay cả khi hợp đồng thông minh an toàn, lỗ hổng tại lớp hạ tầng phân phối phần mềm vẫn có thể gây tổn thất lớn. Đây là dạng tấn công chuỗi cung ứng – nơi hacker xâm nhập vào “đầu vào” của sản phẩm thay vì tấn công trực diện người dùng.
Holdstation cho biết đang nâng cấp toàn bộ quy trình phát hành, bao gồm:
Vụ việc đang thu hút sự quan tâm lớn từ cộng đồng crypto Việt Nam, khi Holdstation là một trong những dự án ví DeFi có trụ sở tại TP.HCM.
Dự án cam kết tiếp tục cập nhật tiến độ điều tra trong thời gian tới.
Vương Tiễn
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Cơ quan chức năng Pháp tăng cường an ninh cho các giám đốc điều hành crypto trong bối cảnh đe dọa bắt cóc
Các cơ quan chức năng Pháp đang tăng cường an ninh cho các giám đốc điều hành và nhà đầu tư tài sản số do các vụ bắt cóc gần đây. Sau những mối đe dọa này, cảnh sát đã hộ tống người tham dự Paris Blockchain Week, và các biện pháp bảo vệ cho người nắm giữ crypto đang được phát triển.
GateNews5phút trước
Zonda Exchange Tiết Lộ Ví Lạnh 4.500 BTC Khi Vẫn Chưa Chuyển Giao Khóa Riêng
Zonda, một sàn giao dịch tiền mã hóa của Ba Lan, đã tiết lộ một ví lạnh chứa 4,503 BTC giữa cuộc khủng hoảng rút tiền. CEO Przemysław Kral đã phản hồi các cáo buộc biển thủ quỹ và hứa sẽ thực hiện hành động pháp lý chống lại những tuyên bố sai trái, nhấn mạnh rằng các khóa riêng không bao giờ được chuyển giao do sự biến mất của vị CEO trước đó.
GateNews30phút trước
OneCoin 龐氏騙局啟動清償、美司法部提撥4000萬美元補償受害者
OneCoin 龐氏騙局由伊格納托娃於2014年創立,吸引350萬投資者,詐騙約40億美元。美國司法部將提供4000萬美元補償受害者,創辦人失蹤,名列FBI頭號通緝,該案已引發全球執法機構合作,制裁多名同夥。
ChainNewsAbmedia43phút trước
Rhea Finance Bị Tấn Công, Mất Khoảng 7,6 Triệu USD
Rhea Finance đã gặp sự cố vi phạm bảo mật, trong đó kẻ tấn công tạo ra các hợp đồng token giả và thao túng các nhóm thanh khoản, làm sai lệch hệ thống oracle và chiếm đoạt ít nhất 7,6 triệu USD tài sản.
GateNews1giờ trước
Ukraine Triệt phá Vòng tội phạm mạng Quốc tế, Thu giữ $3M tiền mã hóa
Một nghi phạm có liên hệ với một nhóm tội phạm mạng quốc tế đã bị bắt tại Ukraine vì $100 triệu đô la trong các hành vi gian lận và rửa tiền. Cảnh sát đã thu giữ $11 triệu đô la tài sản và $3 triệu đô la tiền mã hóa. Nghi phạm phải đối mặt với các cáo buộc làm giả giấy tờ và rửa tiền.
GateNews3giờ trước
Ngành DeFi Đối Mặt Nhiều Áp Lực Khi Lợi Suất Giảm và $285M Vụ Hack Dấy Lên Lo Ngại Về Bảo Mật
Tài chính phi tập trung (DeFi) đang chịu áp lực khi lợi suất cho vay giảm xuống mức tương tự như trái phiếu truyền thống, hoạt động blockchain suy giảm, và một vụ hack lớn làm dấy lên lo ngại về bảo mật, thách thức các tuyên bố về mức độ an toàn đạt chuẩn tổ chức.
GateNews4giờ trước
