26/02/2026 – Проект смарт-гаманця DeFAI Holdstation, зареєстрований у В’єтнамі (побудований на Worldcoin та BNB Chain), підтвердив, що став жертвою серйозної атаки на ланцюг постачання рано вранці 25/02/2026. Загальні збитки склали 462 000 USDT.
Це друга інцидент безпеки у проекті у 2026 році, після втрати близько 100 000 USD у січні.
Атака на ланцюг постачання: не націлена на смарт-контракт, а на інфраструктуру розповсюдження
За офіційною заявою, хакер не проник безпосередньо у гаманці користувачів або смарт-контракти. Holdstation та аудитова компанія Verichains запевнили, що смарт-контракти залишилися безпечними.
Замість цього, зловмисник атакував інфраструктуру розповсюдження додатку – місце, яке надає оновлення користувачам.
Конкретно, хакер зробив наступне:
Після контролю над інфраструктурою, зловмисник відредагував файл JavaScript у офіційній версії додатку, вставивши шкідливий код у вигляді бекдору. Користувачі, оновлюючи додаток, випадково встановлювали заражену версію.
Механізм «тихого» зняття коштів
Шкідливий код був розроблений так, щоб активуватися одразу після встановлення:
Внаслідок цього багато гаманців були обкрадені всього за кілька хвилин після випуску зараженого оновлення.
Екстрена реакція Holdstation протягом 30 хвилин
За оприлюдненим хронологічним порядком (UTC+7):
Після цього Holdstation співпрацював з Verichains для аналізу даних у ланцюгу та збору доказів для розслідування.
Загальні збитки наразі підтверджені у розмірі 462 000 USDT.
Гарантія 100% відшкодування користувачам
Holdstation обіцяє компенсувати 100% вартості втрачених активів. Користувачі повинні заповнити офіційну форму за посиланням:
https://forms.gle/9FriUzFWHx6ZPXCS7
Команда проведе он-чейн верифікацію та підтвердить право власності на гаманці перед поверненням коштів. Проект наголошує, що під час компенсації не потрібно надавати seed phrase, приватний ключ або будь-які збори.
Уроки безпеки для галузі
Інцидент показує, що навіть якщо смарт-контракти безпечні, вразливості на рівні інфраструктури розповсюдження програмного забезпечення можуть спричинити значні втрати. Це тип атаки на ланцюг постачання – коли хакер проникає у «вхідні точки» продукту, а не безпосередньо у користувачів.
Holdstation повідомляє, що оновлює весь процес випуску, зокрема:
Ця подія привертає значну увагу криптоспільноти В’єтнаму, оскільки Holdstation є одним із проектів DeFi-гаманців із штаб-квартирою у Хошиміні.
Проект обіцяє продовжувати оновлювати інформацію про хід розслідування найближчим часом.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Хакери Sillytuna пересунулися понад $10M у викрадених криптовалютних коштах
Хакери Sillytuna відмили понад $10M у викрадених коштах, переважно використовуючи Bitcoin і DAI, через біржі та міксери для приховування походження. Незважаючи на ці рухи, вони все ще володіють $19M у викрадених активів.
BlockChainReporter2год тому
Shiba Inu: Оголошено попередження через злом облікового запису учасника SHIB у соціальних мережах - U.Today
Ragnarshib попереджає спільноту Shiba Inu про зламаний акаунт, що належить Vet Kusama, який наразі використовують шахраї для надсилання шахрайських повідомлень. Користувачам рекомендується не взаємодіяти з акаунтом або його посиланнями до його відновлення.
UToday4год тому
IoTeX опублікував звіт про інцидент безпеки ioTube: фактичні збитки становлять приблизно 4,4 мільйони доларів США, обіцяючи повністю компенсувати постраждалим користувачам
IoTeX опублікувала звіт, у якому повідомляється, що 6 березня подія з міжланцюговим мостом ioTube спричинила збитки приблизно на 440 мільйонів доларів США. 99,5% викрадених активів вже заблоковано, команда пообіцяла 100% компенсацію постраждалим користувачам. Основна мережа відновила роботу, адреси атакуючих внесено до чорного списку, одночасно просувається децентралізоване управління та аудит безпеки.
GateNews7год тому
Принцова група відмиває 10,7 мільярдів у Тайвані! Самостійно розробляє «OJBK гаманець» для зв'язку з підпільним обміном валют
Тайбецька прокуратура розслідує справу відмивання грошей групи «Принцова група» з Камбоджі, пред'явила обвинувачення 62 особам та 13 компаніям, що мають причетність до відмивання 10,7 мільярдів юанів, а також конфіскувала активи на суму 5,5 мільярдів юанів. Група використовувала USDT та власноруч розроблений «OJBK гаманець» для транснаціонального відмивання грошей, приховуючи злочинний дохід, а також знімала готівку у кількох країнах.
区块客9год тому
HypurrFi розкриває, що ранні версії Aave V3 містили вразливість з похибкою заокруглення, через що було призупинено нові позики на ринках XAUT0 та UBTC
HyperEVM повідомляє, що протокол позик без довіреності HypurrFi в попередніх версіях Aave V3 має вразливість «помилка заокруглення», яка дозволяє зловмиснику вивести базові токени. HypurrFi гарантує безпеку коштів користувачів, призупинивши операції з поставки та позик у постраждалих ринках, а також співпрацює з відповідними сторонами для вирішення безпекових питань.
GateNews10год тому
AI-агенти проривають захист Cloudflare, шифрований фронтенд DeFi знову проходить випробування
Нещодавно автономний AI-агент OpenClaw, який використовує бібліотеку Scrapling, успішно обійшов захист Cloudflare, викликавши занепокоєння щодо безпеки DeFi. Хоча цей інструмент може легально збирати контент, потенційні ризики наголошують на необхідності для розробників створювати багаторівневий захист і уникати надмірної залежності від традиційних заходів безпеки.
GateNews11год тому
