Ngày 26/02/2026 – Dự án ví thông minh DeFAI Holdstation có trụ sở tại Việt Nam (xây dựng trên Worldcoin và BNB Chain) xác nhận đã trở thành nạn nhân của một vụ tấn công chuỗi cung ứng nghiêm trọng vào rạng sáng 25/02/2026. Tổng thiệt hại được ghi nhận là 462.000 USDT.
Đây là sự cố bảo mật thứ hai của dự án trong năm 2026, sau vụ thất thoát khoảng 100.000 USD hồi tháng 1.
Tấn công chuỗi cung ứng: Không đánh vào smart contract mà vào hạ tầng phân phối
Theo thông báo chính thức, hacker không xâm nhập trực tiếp vào ví người dùng hay hợp đồng thông minh. Phía Holdstation và đơn vị kiểm toán Verichains khẳng định các smart contract vẫn an toàn.
Thay vào đó, kẻ tấn công nhắm vào hạ tầng phân phối ứng dụng – nơi cung cấp các bản cập nhật cho người dùng.
Cụ thể, hacker đã:
Sau khi kiểm soát hạ tầng, attacker chỉnh sửa file JavaScript trong phiên bản ứng dụng chính thức, chèn mã độc dưới dạng backdoor. Người dùng khi cập nhật ứng dụng đã vô tình cài đặt phiên bản bị nhiễm mã độc.
Cơ chế rút tiền “im lặng”
Mã độc được thiết kế để hoạt động ngay sau khi cài đặt:
Hậu quả là nhiều ví bị rút tiền chỉ trong vài phút đầu tiên kể từ khi bản cập nhật độc hại được phát hành.
Phản ứng khẩn cấp trong vòng 30 phút của Holdstation
Theo dòng thời gian được công bố (UTC+7):
Sau đó, Holdstation phối hợp với Verichains để phân tích dữ liệu on-chain và thu thập bằng chứng phục vụ điều tra.
Tổng thiệt hại được xác nhận hiện tại là 462.000 USDT.
Cam kết hoàn trả 100% cho người dùng
Holdstation cam kết bồi thường 100% giá trị tài sản bị ảnh hưởng. Người dùng cần điền biểu mẫu chính thức tại:
https://forms.gle/9FriUzFWHx6ZPXCS7
Đội ngũ sẽ tiến hành xác minh on-chain và xác thực quyền sở hữu ví trước khi hoàn trả. Dự án nhấn mạnh không yêu cầu seed phrase, private key hay bất kỳ khoản phí nào trong quá trình bồi thường.
Bài học bảo mật cho ngành
Sự cố cho thấy ngay cả khi hợp đồng thông minh an toàn, lỗ hổng tại lớp hạ tầng phân phối phần mềm vẫn có thể gây tổn thất lớn. Đây là dạng tấn công chuỗi cung ứng – nơi hacker xâm nhập vào “đầu vào” của sản phẩm thay vì tấn công trực diện người dùng.
Holdstation cho biết đang nâng cấp toàn bộ quy trình phát hành, bao gồm:
Vụ việc đang thu hút sự quan tâm lớn từ cộng đồng crypto Việt Nam, khi Holdstation là một trong những dự án ví DeFi có trụ sở tại TP.HCM.
Dự án cam kết tiếp tục cập nhật tiến độ điều tra trong thời gian tới.
Vương Tiễn
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
iPhone Phát Hiện Lỗ Hổng Nghiêm Trọng "DarkSword": Hacker Có Thể Đánh Cắp Ví Tiền Mã Hóa Và Khóa Riêng Tư, Người Dùng Tiền Điện Tử Trở Thành Mục Tiêu Mới
Google vừa công bố chuỗi tấn công DarkSword trên iOS sử dụng nhiều lỗ hổng zero-day, đe dọa đến tính an toàn tài sản của người dùng tiền điện tử. Công cụ tấn công này đã được phần mềm gián điệp thương mại và các hacker cấp quốc gia sử dụng rộng rãi, có khả năng kiểm soát hoàn toàn iPhone, truy cập ví tiền điện tử và dữ liệu nhạy cảm. Nghiên cứu cho thấy có đến 2,7 tỷ thiết bị iPhone bị ảnh hưởng, rủi ro đặc biệt nghiêm trọng đối với những người dùng có thói quen sử dụng Web3. Mặc dù Apple đã vá được các lỗ hổng, nhưng kỹ thuật tấn công vẫn có tính sao chép được, mối đe dọa tiềm ẩn vẫn tồn tại.
ChainNewsAbmedia1giờ trước
Ripple Làm Rõ: Không Có Telegram Chính Thức Khi Số Lượng Tài Khoản Lừa Đảo Tăng - U.Today
RippleX cảnh báo về sự gia tăng các tài khoản giả mạo trên Telegram đóng giả là đại diện của Ripple, nhấn mạnh rằng Ripple không có kênh chính thức và kêu gọi các người dùng XRP xác minh các thông tin liên lạc. XRP Ledger đang chứng kiến sự tăng trưởng kỷ lục, với hơn 7,7 triệu chủ sở hữu, được hỗ trợ bởi các quy định thuận lợi của SEC.
UToday2giờ trước
BONK.fun khởi động lại sau khi bị chiếm đoạt tên miền, xác nhận thiệt hại 30.000 đô la
BONK.fun has resumed operations after a recent domain takeover incident that caused $30,000 in user losses. The attack, attributed to a third-party vendor's vulnerability, involved phishing tactics. Despite recovering the domain, risks remain as some antivirus software still flags it, and the BONK token price continues to decline.
TapChiBitcoin4giờ trước
Chồng kiện vợ vì trộm hơn 2.000 Bitcoin! Thẩm phán: Khả năng thắng kiện của nguyên đơn rất cao
Tòa án Cao cấp Anh gần đây đã xét xử một vụ án mất trộm Bitcoin, trong đó nguyên đơn Ping Fai Yuen cáo buộc vợ ly thân Fun Yung Li đã lén lút chụp ảnh để trộm Bitcoin từ ví phần cứng của anh ta, trị giá khoảng 1.76 tỷ đô la Mỹ. Bằng chứng từ ghi âm và lệnh khám xét hỗ trợ yêu cầu của nguyên đơn, tòa án đã quyết định duy trì lệnh tịch thu tài sản nhưng bác bỏ một phần đơn kiện. Thẩm phán cho rằng nguyên đơn có khả năng thắng kiện rất cao và đề nghị khai mạc phiên tòa sớm nhất.
区块客5giờ trước
FBI: Xuất hiện lừa đảo token FBI giả mạo TRC20, thông tin cá nhân và bảo mật của người dùng lại bị cảnh báo
Văn phòng FBI New York cảnh báo người dùng blockchain rằng nếu nhận được token TRC-20 tuyên bố liên quan đến FBI, họ nên tăng cảnh báo và tránh tiết lộ thông tin cá nhân. Kỹ thuật lừa đảo này lạm dụng tên FBI giả mạo, tác động áp lực lên nạn nhân nộp tài liệu và hướng dẫn đến các trang web lừa đảo để thực hiện các vụ lừa đảo tài sản.
区块客10giờ trước
Cá voi NFT bị tấn công tiếp tục di chuyển tiền
Arkham reported that stolen funds were moved for the first time since March 6, 2026, with nearly $1 million DAI transferred. The theft stemmed from a violent attack on Ethereum NFT whale Sillytuna, resulting in $23.6 million stolen. Over $7 million remains traceable, illustrating a rise in real-world crypto thefts.
TapChiBitcoin12giờ trước
