Ngày 26/02/2026 – Dự án ví thông minh DeFAI Holdstation có trụ sở tại Việt Nam (xây dựng trên Worldcoin và BNB Chain) xác nhận đã trở thành nạn nhân của một vụ tấn công chuỗi cung ứng nghiêm trọng vào rạng sáng 25/02/2026. Tổng thiệt hại được ghi nhận là 462.000 USDT.
Đây là sự cố bảo mật thứ hai của dự án trong năm 2026, sau vụ thất thoát khoảng 100.000 USD hồi tháng 1.
Tấn công chuỗi cung ứng: Không đánh vào smart contract mà vào hạ tầng phân phối
Theo thông báo chính thức, hacker không xâm nhập trực tiếp vào ví người dùng hay hợp đồng thông minh. Phía Holdstation và đơn vị kiểm toán Verichains khẳng định các smart contract vẫn an toàn.
Thay vào đó, kẻ tấn công nhắm vào hạ tầng phân phối ứng dụng – nơi cung cấp các bản cập nhật cho người dùng.
Cụ thể, hacker đã:
Sau khi kiểm soát hạ tầng, attacker chỉnh sửa file JavaScript trong phiên bản ứng dụng chính thức, chèn mã độc dưới dạng backdoor. Người dùng khi cập nhật ứng dụng đã vô tình cài đặt phiên bản bị nhiễm mã độc.
Cơ chế rút tiền “im lặng”
Mã độc được thiết kế để hoạt động ngay sau khi cài đặt:
Hậu quả là nhiều ví bị rút tiền chỉ trong vài phút đầu tiên kể từ khi bản cập nhật độc hại được phát hành.
Phản ứng khẩn cấp trong vòng 30 phút của Holdstation
Theo dòng thời gian được công bố (UTC+7):
Sau đó, Holdstation phối hợp với Verichains để phân tích dữ liệu on-chain và thu thập bằng chứng phục vụ điều tra.
Tổng thiệt hại được xác nhận hiện tại là 462.000 USDT.
Cam kết hoàn trả 100% cho người dùng
Holdstation cam kết bồi thường 100% giá trị tài sản bị ảnh hưởng. Người dùng cần điền biểu mẫu chính thức tại:
https://forms.gle/9FriUzFWHx6ZPXCS7
Đội ngũ sẽ tiến hành xác minh on-chain và xác thực quyền sở hữu ví trước khi hoàn trả. Dự án nhấn mạnh không yêu cầu seed phrase, private key hay bất kỳ khoản phí nào trong quá trình bồi thường.
Bài học bảo mật cho ngành
Sự cố cho thấy ngay cả khi hợp đồng thông minh an toàn, lỗ hổng tại lớp hạ tầng phân phối phần mềm vẫn có thể gây tổn thất lớn. Đây là dạng tấn công chuỗi cung ứng – nơi hacker xâm nhập vào “đầu vào” của sản phẩm thay vì tấn công trực diện người dùng.
Holdstation cho biết đang nâng cấp toàn bộ quy trình phát hành, bao gồm:
Vụ việc đang thu hút sự quan tâm lớn từ cộng đồng crypto Việt Nam, khi Holdstation là một trong những dự án ví DeFi có trụ sở tại TP.HCM.
Dự án cam kết tiếp tục cập nhật tiến độ điều tra trong thời gian tới.
Vương Tiễn
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Tether phong tỏa 3,29 triệu USDT tại địa chỉ hacker của Rhea Finance
Giám đốc điều hành Tether Paolo Ardoino đã công bố việc phong tỏa 3,29 triệu USDT liên quan đến một hacker liên kết với vụ đánh cắp 7,6 triệu USD của Rhea Finance do tấn công hợp đồng token giả.
GateNews23phút trước
Circle Bị Kiện Tập Thể Liên Quan Đến $230M USDC Không Bị Khóa Trong Vụ Tấn Công Drift Protocol
Circle đối mặt với một vụ kiện tập thể vì đã không phong tỏa $230 triệu USD Coin (USDC) bị đánh cắp sau cuộc tấn công của Drift Protocol. Nguyên đơn cho rằng các giao thức của Circle đã cho phép kẻ tấn công chuyển và đổi số tiền bị đánh cắp mà không bị can thiệp, làm dấy lên lo ngại về trách nhiệm của công ty trong việc giám sát các giao dịch chuyển chuỗi chéo (cross-chain).
GateNews24phút trước
Rhea Finance bị đánh cắp 7,6 triệu USD, tấn công giả mạo token trong DeFi thao túng oracle
协议 DeFi Rhea Finance gặp phải lỗ hổng bảo mật nghiêm trọng vào ngày 16 tháng 4, gây thiệt hại khoảng 7,6 triệu USD. Kẻ tấn công thao túng cơ chế oracle khiến giao thức đánh giá sai giá trị tài sản thông qua việc tạo các hợp đồng token giả mạo. Khoản lỗ này chiếm khoảng 6% tổng giá trị khóa (TVL) của Rhea Finance, cho thấy rủi ro của các cuộc tấn công thao túng oracle trong lĩnh vực DeFi. Người dùng cần thận trọng đánh giá rủi ro tài sản.
MarketWhisper28phút trước
Grinex bị hack, tạm dừng giao dịch 15 triệu, mũi nhọn hướng tới “quốc gia thù địch”
Sàn giao dịch Grinex ở Kyrgyzstan tạm dừng giao dịch và rút tiền do bị một cuộc tấn công mạng quy mô lớn, và thiệt hại khoảng 15 triệu USD USDT. Tiền bị đánh cắp được chuyển đổi nhanh chóng sang TRX và ETH để giảm rủi ro bị phong tỏa. Grinex được cho là bên kế nhiệm của sàn giao dịch bị trừng phạt Garantex, trở thành nền tảng giao dịch chính cho tiền mã hóa được quy đổi từ đồng rúp. Tuyên bố về vụ tấn công của Grinex quy sự kiện này cho cái gọi là “tác nhân từ một quốc gia thù địch”, nhưng thiếu bằng chứng cụ thể.
MarketWhisper55phút trước
CEX có trụ sở tại Kyrgyzstan ngừng giao dịch sau đợt tấn công mạng và sự cố ví liên quan $15M USDT
Sàn giao dịch tiền mã hóa có trụ sở tại Kyrgyzstan đã tạm dừng giao dịch sau khi tin tặc đánh cắp hơn $15 triệu USDT. Kẻ tấn công đã chuyển quỹ qua nhiều blockchain để né tránh bị phát hiện. Sự cố này nêu bật các rủi ro trong các sàn giao dịch tập trung, đặc biệt ở những khu vực ít được quản lý.
GateNews1giờ trước
Zonda首席执行官披露4,503 BTC冷钱包无法访问:创始人自2022年以来仍失联
Zonda,一家波兰加密货币交易所,正面临危机:其包含4,503比特币的冷钱包无法访问,导致提现请求激增。首席执行官Kral表示,在公司被收购期间,从未转移该私钥,相关部门正在调查此事,因担忧破产而引发关注。
GateNews4giờ trước
