26/02/2026 – Проект умного кошелька DeFAI Holdstation, базирующийся во Вьетнаме (строится на Worldcoin и BNB Chain), подтвердил, что стал жертвой серьезной атаки на цепочку поставок, произошедшей в ранние часы 25/02/2026. Общий ущерб составил 462 000 USDT.
Это вторая инцидент безопасности проекта в 2026 году, после утечки примерно 100 000 USD в январе.
Атака на цепочку поставок: не на smart contract, а на инфраструктуру распространения
По официальному заявлению, хакер не проник напрямую в кошельки пользователей или в смарт-контракты. Компания Holdstation и аудиторы из Verichains подтвердили, что смарт-контракты остаются в безопасности.
Вместо этого злоумышленник нацелился на инфраструктуру распространения приложения — место, где предоставляются обновления для пользователей.
Конкретно, хакер:
После контроля инфраструктуры, злоумышленник отредактировал файл JavaScript в официальной версии приложения, вставив вредоносный код в виде бэкдора. Пользователи, обновляя приложение, случайно устанавливали зараженную версию.
Механизм «тихого» вывода средств
Вредоносный код был разработан так, чтобы активироваться сразу после установки:
В результате, многие кошельки были очищены от средств всего за несколько минут после выпуска зараженного обновления.
Срочные меры реагирования в течение 30 минут от Holdstation
Согласно опубликованной хронологии (UTC+7):
Затем Holdstation совместно с Verichains проанализировали данные on-chain и собрали доказательства для расследования.
Общий подтвержденный ущерб на данный момент составляет 462 000 USDT.
Обещание полного возмещения пользователям
Holdstation обещает возместить 100% стоимости пострадавших активов. Пользователи должны заполнить официальную форму по ссылке:
https://forms.gle/9FriUzFWHx6ZPXCS7
Команда проведет проверку on-chain и подтвердит право собственности на кошельки перед возвратом. Проект подчеркивает, что для возмещения не требуется seed phrase, приватный ключ или любые сборы.
Уроки безопасности для отрасли
Инцидент показывает, что даже при наличии безопасных смарт-контрактов уязвимости на уровне инфраструктуры распространения программного обеспечения могут привести к значительным потерям. Это пример атаки на цепочку поставок — когда злоумышленник проникает в «входные точки» продукта, а не атакует напрямую пользователей.
Holdstation сообщает, что обновляет весь процесс выпуска, включая:
Дело привлекает большое внимание криптосообщества Вьетнама, поскольку Holdstation — один из проектов DeFi-кошельков, базирующихся в Хошимине.
Проект обещает продолжать информировать о ходе расследования в ближайшее время.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Протокол Venus подвергся хаку с потерями в размере 3,7 млн долларов США: $THE низколиквидные токены стали уязвимостью для атаки, DeFi на BNB Chain снова в опасности
Децентрализованный протокол кредитования Venus Protocol подвергся атаке примерно на 3,7 млн доллара 15 марта 2026 года, что привело к безвозвратным убыткам на сумму 2,18 млн доллара. Злоумышленник провел сложную атаку, манипулируя ценой маломобильного токена $THE и комбинируя онцепные кредиты с внецепными деривативами, что выявило системные риски. Инцидент побудил индустрию переоценить стандарты приемлемости залогов и разработку параметров риска.
ChainNewsAbmedia1ч назад
Протокол Venus подвергся атаке «ликвидационной бомбы»: хакер выдавал себя за обычного пользователя в течение 9 месяцев, создав задолженность на сумму 2,15 млн долларов
Протокол кредитования Venus Protocol на BNB Chain подвергся атаке хакеров, планировавшейся в течение 9 месяцев, 16 марта. Атакующие в итоге вывели примерно 5,07 млн долларов активов, что привело к 2,15 млн долларов безнадежных долгов. Злоумышленники манипулировали ценой токена THE для спровоцирования ликвидации, а Venus реагировал снижением коэффициента обеспечения на нескольких рынках. Это демонстрирует риски протоколов DeFi в отношении токенов с низкой ликвидностью.
動區BlockTempo2ч назад
Центр по управлению китайским цифровым юанем опубликовал три типа мошеннических схем
Центр по управлению операциями цифрового юаня в Китае обнародовал три вида мошеннических схем: мошенничество под видом продвижения с использованием пирамидальных схем, обман с возвратом средств за накрутку заказов, а также заманивание для скачивания поддельных приложений с целью кражи информации и денег.
GateNews3ч назад
Белый хакер раскрыл серьёзную уязвимость протокола Injective, затрагивающую активы на сумму 500 млн долларов, споры о вознаграждении не разрешены
Белый хакер f4lc0n обнаружил серьезную уязвимость в протоколе Injective, которая могла привести к извлечению активов на сумму 500 миллионов долларов. Несмотря на исправление, он получил вознаграждение в размере 50 тысяч долларов, что ниже максимального стандарта в 500 тысяч долларов. f4lc0n оспорил это решение и планирует продолжить разоблачение этого вопроса.
GateNews3ч назад
Venus Protocol подверглась атаке на лимит предложения, потеряв 3,7 миллиона долларов
Децентрализованная платформа заимствования Venus Protocol недавно стала жертвой манипулятивной атаки на предельное предложение токена Thena с убытками, превышающими 3,7 млн долларов. Злоумышленник в течение 9 месяцев медленно накапливал токены, в конечном итоге обойдя ограничение предложения и манипулируя ценой, что привело к массовому заимствованию активов. Платформа приостановила соответствующие функции заимствования и вывода средств для управления рисками, что демонстрирует системную уязвимость DeFi-протоколов в областях долгосрочного мониторинга и токенов с низкой ликвидностью.
MarketWhisper4ч назад
Aave и CoW Swap опубликовали противоположные аналитические отчеты по случаю убытков в 50 миллионов долларов из-за высокого проскальзывания при торговле
16 марта Aave и CoW Swap опубликовали отдельные отчеты по инциденту с потерями в размере 50 млн на торговле с высокой проскальзыванием. Aave считает, что проблема кроется в недостатке ликвидности на рынке, тогда как CoW Swap указывает на устаревшие ограничения по газу и то, что сделка не была подана в цепь. Точки зрения противоположны, и обе стороны не упоминули деятельность MEV-бота на сумму примерно 44 млн.
GateNews5ч назад
