Ngày 26/02/2026 – Dự án ví thông minh DeFAI Holdstation có trụ sở tại Việt Nam (xây dựng trên Worldcoin và BNB Chain) xác nhận đã trở thành nạn nhân của một vụ tấn công chuỗi cung ứng nghiêm trọng vào rạng sáng 25/02/2026. Tổng thiệt hại được ghi nhận là 462.000 USDT.
Đây là sự cố bảo mật thứ hai của dự án trong năm 2026, sau vụ thất thoát khoảng 100.000 USD hồi tháng 1.
Tấn công chuỗi cung ứng: Không đánh vào smart contract mà vào hạ tầng phân phối
Theo thông báo chính thức, hacker không xâm nhập trực tiếp vào ví người dùng hay hợp đồng thông minh. Phía Holdstation và đơn vị kiểm toán Verichains khẳng định các smart contract vẫn an toàn.
Thay vào đó, kẻ tấn công nhắm vào hạ tầng phân phối ứng dụng – nơi cung cấp các bản cập nhật cho người dùng.
Cụ thể, hacker đã:
Sau khi kiểm soát hạ tầng, attacker chỉnh sửa file JavaScript trong phiên bản ứng dụng chính thức, chèn mã độc dưới dạng backdoor. Người dùng khi cập nhật ứng dụng đã vô tình cài đặt phiên bản bị nhiễm mã độc.
Cơ chế rút tiền “im lặng”
Mã độc được thiết kế để hoạt động ngay sau khi cài đặt:
Hậu quả là nhiều ví bị rút tiền chỉ trong vài phút đầu tiên kể từ khi bản cập nhật độc hại được phát hành.
Phản ứng khẩn cấp trong vòng 30 phút của Holdstation
Theo dòng thời gian được công bố (UTC+7):
Sau đó, Holdstation phối hợp với Verichains để phân tích dữ liệu on-chain và thu thập bằng chứng phục vụ điều tra.
Tổng thiệt hại được xác nhận hiện tại là 462.000 USDT.
Cam kết hoàn trả 100% cho người dùng
Holdstation cam kết bồi thường 100% giá trị tài sản bị ảnh hưởng. Người dùng cần điền biểu mẫu chính thức tại:
https://forms.gle/9FriUzFWHx6ZPXCS7
Đội ngũ sẽ tiến hành xác minh on-chain và xác thực quyền sở hữu ví trước khi hoàn trả. Dự án nhấn mạnh không yêu cầu seed phrase, private key hay bất kỳ khoản phí nào trong quá trình bồi thường.
Bài học bảo mật cho ngành
Sự cố cho thấy ngay cả khi hợp đồng thông minh an toàn, lỗ hổng tại lớp hạ tầng phân phối phần mềm vẫn có thể gây tổn thất lớn. Đây là dạng tấn công chuỗi cung ứng – nơi hacker xâm nhập vào “đầu vào” của sản phẩm thay vì tấn công trực diện người dùng.
Holdstation cho biết đang nâng cấp toàn bộ quy trình phát hành, bao gồm:
Vụ việc đang thu hút sự quan tâm lớn từ cộng đồng crypto Việt Nam, khi Holdstation là một trong những dự án ví DeFi có trụ sở tại TP.HCM.
Dự án cam kết tiếp tục cập nhật tiến độ điều tra trong thời gian tới.
Vương Tiễn
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Quản lý tài sản mã hóa bị tạm giữ khẩn cấp tại Hàn Quốc: Mất 22 BTC và sự cố ghi nhầm 620,000 BTC đã thúc đẩy nâng cấp quy định
Chính phủ Hàn Quốc đang đánh giá lại việc quản lý tài sản mã hóa bị tịch thu nhằm tăng cường cơ chế an ninh và tránh sai sót. Cuộc rà soát này bắt nguồn từ các vụ cảnh sát mất Bitcoin và lỗi ghi sổ của các nền tảng lớn, cho thấy các lỗ hổng trong quy định. Kế hoạch tăng cường quản lý đa chữ ký và kiểm toán kỹ thuật để nâng cao an toàn tài sản kỹ thuật số.
GateNews28phút trước
Vụ rò rỉ tài sản ảo của Cục Thuế Quốc gia, cuộc điều tra chính thức bắt đầu…… Vấn đề an ninh lại một lần nữa thu hút sự chú ý
Cục Thuế Quốc gia do sơ suất dẫn đến lộ mnemonic, gây ra việc tài sản ảo bị hacker đánh cắp, cảnh sát đã chuyển sang điều tra chính thức. Sự kiện lần này liên quan đến đồng PRTG, trị giá khoảng 69 tỷ won Hàn Quốc, thiệt hại thực tế có thể hạn chế, nhưng có thể gây ra sự chú ý và thảo luận về an toàn tài sản ảo cũng như cải thiện hệ thống.
TechubNews1giờ trước
Thông tin ví người dùng đã bị lộ! Thám tử chuỗi ZachXBT tiết lộ nhân viên Axiom bị cáo buộc giao dịch nội gián
Nhà điều tra chuỗi nổi tiếng ZachXBT tiết lộ rằng nhân viên của nền tảng giao dịch tiền điện tử Axiom đã lạm dụng công cụ nội bộ để dò xét ví của người dùng, và có thể đã sử dụng những thông tin này để thực hiện giao dịch nội gián. Axiom đã thu hồi quyền truy cập liên quan và cho biết sẽ điều tra các hành vi vi phạm, nhấn mạnh rằng điều này không phản ánh giá trị của toàn bộ nhóm. Cuộc điều tra đã gây xôn xao thị trường, và có những nhà giao dịch đã kiếm lời nhờ dự đoán sự kiện này.
区块客3giờ trước
Ngân hàng Trung ương Nga cảnh báo về lừa đảo tiền điện tử, 84% tổ chức bán hàng đa cấp sử dụng tiền ảo để huy động vốn
Ngân hàng Trung ương Nga cảnh báo về sự gia tăng đột biến của các hoạt động lừa đảo tiền điện tử, trong báo cáo năm 2025 có 84% các kẻ lừa đảo sử dụng tiền điện tử để huy động vốn. Năm ngoái đã phát hiện 7.087 kế hoạch lừa đảo tài chính, 80% hoạt động trực tuyến. Ngân hàng Trung ương đã hành động bằng cách chặn các trang web liên quan và tăng cường quản lý, đồng thời dự định hạn chế các sàn giao dịch tiền điện tử ở nước ngoài, nhấn mạnh việc lựa chọn các công ty hợp pháp để đầu tư.
MarketWhisper3giờ trước
PeckShield:Lỗ hổng tiền điện tử tháng 2 giảm 69%, không có hacker lớn là nguyên nhân chính
Báo cáo của PeckShield cho thấy, thiệt hại tiền điện tử trong tháng 2 năm 2026 đã giảm xuống còn 26,5 triệu USD, mức thấp nhất hàng tháng. Các nguyên nhân chính bao gồm không có các cuộc tấn công lớn, ảnh hưởng của biến động thị trường đến chiến lược và các biện pháp an ninh được tăng cường. Sự kiện thiệt hại lớn nhất trong tháng là của YieldBlox và IoTeX, hai bên chiếm hơn 70% tổng thiệt hại. Các chuyên gia dự đoán thiệt hại trong tương lai sẽ tiếp tục giảm, nhưng các cuộc tấn công lừa đảo qua mạng vẫn cần cảnh giác.
MarketWhisper3giờ trước
Hàn Quốc thừa nhận lỗ hổng quản lý tài sản số: Bộ trưởng Tài chính công bố cải cách toàn diện quản lý tài sản mã hóa
Chính phủ Hàn Quốc sẽ tiến hành kiểm tra toàn diện việc quản lý tài sản kỹ thuật số trong khu vực công, Phó Thủ tướng Koo Yun-cheol tuyên bố sẽ tăng cường các cơ chế quản lý và an ninh, đặc biệt là quy trình phong tỏa tài sản mã hóa. Biện pháp này xuất phát từ áp lực dư luận do những sai sót trong quản lý gần đây, chính phủ sẽ phối hợp với các cơ quan liên quan để kiểm tra hệ thống các quy trình liên quan và xây dựng các quy chuẩn an ninh nghiêm ngặt hơn nhằm ngăn chặn các sự cố tương tự xảy ra trong tương lai.
GateNews3giờ trước
