2026年2月26日 – ベトナムに拠点を置くDeFAI Holdstationのスマートウォレットプロジェクト(WorldcoinとBNB Chain上に構築)は、2026年2月25日未明に深刻なサプライチェーン攻撃の被害を受けたことを確認しました。総被害額は462,000 USDTです。
これは2026年に入ってからの同プロジェクトの2回目のセキュリティインシデントで、1月の約10万ドルの流出に続くものです。
サプライチェーン攻撃:スマートコントラクトではなく配信インフラを狙う
公式発表によると、ハッカーはユーザーのウォレットやスマートコントラクトに直接侵入したわけではありません。Holdstationと監査会社のVerichainsは、スマートコントラクトは安全であると断言しています。
代わりに、攻撃者はアプリの配信インフラを狙いました。これは、ユーザーにアップデートを提供する部分です。
具体的には、ハッカーは以下の操作を行いました:
インフラを掌握した後、攻撃者は公式アプリのJavaScriptファイルを改ざんし、バックドアとしてマルウェアを埋め込みました。ユーザーがアプリを更新すると、意図せず感染したバージョンをインストールしてしまいます。
「静かに」資金引き出しの仕組み
マルウェアはインストール直後に動作するように設計されています。
その結果、感染したアップデートがリリースされてから数分以内に、多くのウォレットから資金が引き出されました。
Holdstationの緊急対応(30分以内)
公開されたタイムライン(UTC+7)によると:
その後、HoldstationはVerichainsと連携し、オンチェーンデータの分析と証拠収集を行い、調査を進めました。
現在までに確認された総被害額は462,000 USDTです。
ユーザーへの100%返金を約束
Holdstationは、影響を受けた資産の価値を100%補償することを約束しています。ユーザーは以下の公式フォームに記入してください:
https://forms.gle/9FriUzFWHx6ZPXCS7
チームはオンチェーンの検証とウォレット所有権の確認を行った後、返金を実施します。プロジェクトは、返金手続き中にシードフレーズやプライベートキー、手数料の請求を行わないことを強調しています。
セキュリティの教訓
この事件は、スマートコントラクトが安全であっても、ソフトウェア配信インフラの脆弱性が大きな損失を引き起こす可能性があることを示しています。これはサプライチェーン攻撃の一種であり、ハッカーは製品の「入口」に侵入し、直接ユーザーを攻撃するのではなく、配信経路を狙います。
Holdstationは、リリースプロセス全体のアップグレードを進めていると述べています。
この事件は、ホーチミン市に拠点を置くDeFiウォレットプロジェクトの一つとして、ベトナムの暗号通貨コミュニティから大きな関心を集めています。
今後も調査の進捗を随時更新していく予定です。
ヴォアン・ティエン
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は
免責事項をご参照ください。
関連記事
Web3 ウォレットのZerionがプラットフォームの異常なアクティビティを検知しました。ウェブ端末のサービスは一時的に停止しています。
ゲートニュース、4月11日、Web3ウォレットのZerionがXプラットフォームで発表したところ、同プラットフォーム上で異常な活動が検出されたため、Web端末のアプリケーションサービスは一時的に停止したとのことです。Zerionはユーザーに対し、当面はWeb端末のアプリケーションの使用を控えるよう注意しています。現時点では、iOSおよびAndroidの各アプリ、ならびにブラウザ拡張プログラムは正常に動作しており、安全です。ウォレット内のユーザー資金への影響はありません。Zerionは状況を積極的に監視しており、Webアプリケーションが復旧した後に改めてユーザーへ通知するとしています。
GateNews4時間前
Phantom ウォレットが大規模にフリーズ!エアドロップ期間中にトークン価格がめちゃくちゃになり、残高がゼロに。ユーザーが「金を返せ/補償しろ」と怒り爆発
ソラナエコシステムのPhantomウォレットはエアドロップ期間中にサービス停止が発生し、トークン価格と口座残高の表示に異常が出て、ユーザーの取引に影響しました。一部のユーザーはそのため損失を被り、補償を求めています。セキュリティ専門家はフィッシング攻撃のリスクを警告し、ユーザーにオンチェーンデータを検証するよう勧めています。問題はすでに修復されましたが、信頼の危機は引き続き注視が必要です。今回の出来事は、セルフホスティング型ウォレットがシステムの安定性と使用体験において直面する課題を浮き彫りにしました。
区块客5時間前
TAOが25%急落、Bittensorの共同創業者がトークン販売を使って従順な対応を強要したとして告発される
BittensorのTAOトークンは、共同創業者ジェイコブ・スティーヴスによる中央集権的な支配の疑惑により25%下落し、その結果、$650 millionの時価総額の損失と$9.1 millionの清算が発生しました。この論争は、プロジェクトのガバナンスに関する懸念を提起しています。
Coinpedia6時間前
Bitcoin Depot、決済口座がハッキングされた後にBTCの被害として$3.6Mの盗難を公表
Bitcoin Depotは、ハッカーが社内の決済用アカウントの認証情報を侵害することで50.9 BTCを盗み、約360万ドル相当だったと報告しました。この事件は、暗号資産企業の運用インフラにおける脆弱性を浮き彫りにし、より強化されたセキュリティ対策の必要性を強調しています。
CryptoNewsFlash9時間前
OpenAIは第三者ライブラリのセキュリティインシデントについて声明を発表:ユーザーデータの漏えいやシステム侵入は確認されていません
OpenAIは4月11日にセキュリティに関する告知を公開し、サードパーティライブラリAxiosに関連するセキュリティ問題を確認したことを明らかにしましたが、ユーザーデータがアクセスされたという証拠は見つかっていません。安全を確保するため、同社はすべてのmacOSユーザーに対し最新バージョンへのアップデートを求め、偽装アプリのリスクを防ぐよう要請しています。
GateNews9時間前
2026年以降のブロックチェーンにおけるセキュリティ被害は約8億ドルで、北朝鮮関連の事案の割合は約42%です
2026年1月1日以降、CertiK Alertは163件のブロックチェーンのセキュリティインシデントを記録しており、総損失は約7.967億ドルです。そのうち12件は北朝鮮のハッカー組織に関連しており、損失は約3.29億ドルで、総損失の42%を占めています。2025年における60%の割合と比べて低下しています。
GateNews11時間前
