2026年2月26日 – ベトナムに拠点を置くDeFAI Holdstationのスマートウォレットプロジェクト(WorldcoinとBNB Chain上に構築)は、2026年2月25日未明に深刻なサプライチェーン攻撃の被害を受けたことを確認しました。総被害額は462,000 USDTです。
これは2026年に入ってからの同プロジェクトの2回目のセキュリティインシデントで、1月の約10万ドルの流出に続くものです。
サプライチェーン攻撃:スマートコントラクトではなく配信インフラを狙う
公式発表によると、ハッカーはユーザーのウォレットやスマートコントラクトに直接侵入したわけではありません。Holdstationと監査会社のVerichainsは、スマートコントラクトは安全であると断言しています。
代わりに、攻撃者はアプリの配信インフラを狙いました。これは、ユーザーにアップデートを提供する部分です。
具体的には、ハッカーは以下の操作を行いました:
インフラを掌握した後、攻撃者は公式アプリのJavaScriptファイルを改ざんし、バックドアとしてマルウェアを埋め込みました。ユーザーがアプリを更新すると、意図せず感染したバージョンをインストールしてしまいます。
「静かに」資金引き出しの仕組み
マルウェアはインストール直後に動作するように設計されています。
その結果、感染したアップデートがリリースされてから数分以内に、多くのウォレットから資金が引き出されました。
Holdstationの緊急対応(30分以内)
公開されたタイムライン(UTC+7)によると:
その後、HoldstationはVerichainsと連携し、オンチェーンデータの分析と証拠収集を行い、調査を進めました。
現在までに確認された総被害額は462,000 USDTです。
ユーザーへの100%返金を約束
Holdstationは、影響を受けた資産の価値を100%補償することを約束しています。ユーザーは以下の公式フォームに記入してください:
https://forms.gle/9FriUzFWHx6ZPXCS7
チームはオンチェーンの検証とウォレット所有権の確認を行った後、返金を実施します。プロジェクトは、返金手続き中にシードフレーズやプライベートキー、手数料の請求を行わないことを強調しています。
セキュリティの教訓
この事件は、スマートコントラクトが安全であっても、ソフトウェア配信インフラの脆弱性が大きな損失を引き起こす可能性があることを示しています。これはサプライチェーン攻撃の一種であり、ハッカーは製品の「入口」に侵入し、直接ユーザーを攻撃するのではなく、配信経路を狙います。
Holdstationは、リリースプロセス全体のアップグレードを進めていると述べています。
この事件は、ホーチミン市に拠点を置くDeFiウォレットプロジェクトの一つとして、ベトナムの暗号通貨コミュニティから大きな関心を集めています。
今後も調査の進捗を随時更新していく予定です。
ヴォアン・ティエン
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は
免責事項をご参照ください。
関連記事
イーサリアムのポイズニング攻撃:詐欺師から身を守る方法 - U.Today
イーサリアムユーザーに対するアドレスポイズニング攻撃はますます自動化されており、被害者を騙して偽のウォレットに送金させています。最近のデータは、これらの攻撃による大きな損失を明らかにし、これらの攻撃を促進する経済的インセンティブを浮き彫りにしており、ユーザーの注意喚起の必要性を強調しています。
UToday5分前
中国国家インターネット情報弁公室は、OpenClawのセキュリティリスク警報を発表し、国内で活動している資産は約2万3000個です。
中国国家ネットワークと情報セキュリティ情報通報センターのデータによると、世界中で活動しているOpenClawインターネット資産は20万を超え、中国国内には約2万3千があり、主にネットワークリソースが集中する地域に集中しています。これらの資産はセキュリティリスクに直面しており、エージェントの行動を制御しにくく、データの削除や情報盗取など深刻な結果を招く可能性があります。
GateNews2時間前
イーサリアムの手数料引き下げ後に詐欺が激増?アドレス投毒攻撃が急増し、USDTの少額取引が612%増加
イーサリアムの取引コストが低下するにつれて、アドレス中毒攻撃が頻発しています。攻撃者は似たようなアドレスを偽造し、少額の送金を行ってユーザーを誘導し、資金を誤って送らせます。Fusakaのアップグレード後、少額取引が急増し、巨額の損失を引き起こしました。攻撃の成功率は低いものの、コストが低いため、依然として攻撃を続ける者がいます。ユーザーはアドレスを慎重に確認し、リスクに警戒する必要があります。
GateNews5時間前
OpenClaw is Exploding in China's AI Trading Circle: Retail Traders Using AI to Trade Cryptocurrencies, Some Earning Nearly $3,000 in 48 Hours
OpenClawは最近、中国で急速に人気を博し、多くの開発者や投資家がAIによる自動取引を試みるようになっています。その影響はさまざまな層に広がっていますが、安全性の懸念や信頼性の問題も浮上しています。取引の技術的ハードルを下げたものの、投資判断は依然として人間の管理が必要であり、市場の感情は変動の中で徐々に変化しています。
GateNews5時間前
Slowmist: ClawHub Has Backdoor Implantation Risk, 21% of Top 100 Skills Listed as High-Risk
Slowmist has issued a security warning about ClawHub, which poses risks due to its reliance on GitHub single sign-on, making it susceptible to developer credential theft for supply chain attacks. GoPlus scanned the top 100 Skills and found that 21% have critical-level risks. Additionally, Tencent's SkillHub has sparked copyright disputes, with founders criticizing its lack of support for open-source projects. Users are advised to carefully select Skills and implement security measures to prevent potential attacks.
MarketWhisper6時間前
690万ドルの暗号通貨盗難事件に判決:シンガポール男性がハッキング行為への関与で2年の懲役刑を受ける
シンガポールの裁判所は、約690万米ドルの損失をもたらした暗号通貨の盗難事件に関与したとして有罪判決を受けた男性に対し、懲役2年の判決を言い渡した。この事件は、ハッカーが違法に暗号資産ウォレットにアクセスし、資産を移転したことに端を発している。警察は資金の流れを追跡することで、犯罪グループのメンバーを特定し逮捕に成功した。法執行機関は、サイバー犯罪がデジタル資産の分野で依然として活発であり、各国が安全対策を強化するために協力を深めていると述べている。
GateNews6時間前
