Ngày 26/02/2026 – Dự án ví thông minh DeFAI Holdstation có trụ sở tại Việt Nam (xây dựng trên Worldcoin và BNB Chain) xác nhận đã trở thành nạn nhân của một vụ tấn công chuỗi cung ứng nghiêm trọng vào rạng sáng 25/02/2026. Tổng thiệt hại được ghi nhận là 462.000 USDT.
Đây là sự cố bảo mật thứ hai của dự án trong năm 2026, sau vụ thất thoát khoảng 100.000 USD hồi tháng 1.
Tấn công chuỗi cung ứng: Không đánh vào smart contract mà vào hạ tầng phân phối
Theo thông báo chính thức, hacker không xâm nhập trực tiếp vào ví người dùng hay hợp đồng thông minh. Phía Holdstation và đơn vị kiểm toán Verichains khẳng định các smart contract vẫn an toàn.
Thay vào đó, kẻ tấn công nhắm vào hạ tầng phân phối ứng dụng – nơi cung cấp các bản cập nhật cho người dùng.
Cụ thể, hacker đã:
Sau khi kiểm soát hạ tầng, attacker chỉnh sửa file JavaScript trong phiên bản ứng dụng chính thức, chèn mã độc dưới dạng backdoor. Người dùng khi cập nhật ứng dụng đã vô tình cài đặt phiên bản bị nhiễm mã độc.
Cơ chế rút tiền “im lặng”
Mã độc được thiết kế để hoạt động ngay sau khi cài đặt:
Hậu quả là nhiều ví bị rút tiền chỉ trong vài phút đầu tiên kể từ khi bản cập nhật độc hại được phát hành.
Phản ứng khẩn cấp trong vòng 30 phút của Holdstation
Theo dòng thời gian được công bố (UTC+7):
Sau đó, Holdstation phối hợp với Verichains để phân tích dữ liệu on-chain và thu thập bằng chứng phục vụ điều tra.
Tổng thiệt hại được xác nhận hiện tại là 462.000 USDT.
Cam kết hoàn trả 100% cho người dùng
Holdstation cam kết bồi thường 100% giá trị tài sản bị ảnh hưởng. Người dùng cần điền biểu mẫu chính thức tại:
https://forms.gle/9FriUzFWHx6ZPXCS7
Đội ngũ sẽ tiến hành xác minh on-chain và xác thực quyền sở hữu ví trước khi hoàn trả. Dự án nhấn mạnh không yêu cầu seed phrase, private key hay bất kỳ khoản phí nào trong quá trình bồi thường.
Bài học bảo mật cho ngành
Sự cố cho thấy ngay cả khi hợp đồng thông minh an toàn, lỗ hổng tại lớp hạ tầng phân phối phần mềm vẫn có thể gây tổn thất lớn. Đây là dạng tấn công chuỗi cung ứng – nơi hacker xâm nhập vào “đầu vào” của sản phẩm thay vì tấn công trực diện người dùng.
Holdstation cho biết đang nâng cấp toàn bộ quy trình phát hành, bao gồm:
Vụ việc đang thu hút sự quan tâm lớn từ cộng đồng crypto Việt Nam, khi Holdstation là một trong những dự án ví DeFi có trụ sở tại TP.HCM.
Dự án cam kết tiếp tục cập nhật tiến độ điều tra trong thời gian tới.
Vương Tiễn
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Ripple Làm Rõ: Không Có Telegram Chính Thức Khi Số Lượng Tài Khoản Lừa Đảo Tăng - U.Today
RippleX cảnh báo về sự gia tăng các tài khoản giả mạo trên Telegram đóng giả là đại diện của Ripple, nhấn mạnh rằng Ripple không có kênh chính thức và kêu gọi các người dùng XRP xác minh các thông tin liên lạc. XRP Ledger đang chứng kiến sự tăng trưởng kỷ lục, với hơn 7,7 triệu chủ sở hữu, được hỗ trợ bởi các quy định thuận lợi của SEC.
UToday9phút trước
BONK.fun khởi động lại sau khi bị chiếm đoạt tên miền, xác nhận thiệt hại 30.000 đô la
BONK.fun has resumed operations after a recent domain takeover incident that caused $30,000 in user losses. The attack, attributed to a third-party vendor's vulnerability, involved phishing tactics. Despite recovering the domain, risks remain as some antivirus software still flags it, and the BONK token price continues to decline.
TapChiBitcoin1giờ trước
Chồng kiện vợ vì trộm hơn 2.000 Bitcoin! Thẩm phán: Khả năng thắng kiện của nguyên đơn rất cao
Tòa án Cao cấp Anh gần đây đã xét xử một vụ án mất trộm Bitcoin, trong đó nguyên đơn Ping Fai Yuen cáo buộc vợ ly thân Fun Yung Li đã lén lút chụp ảnh để trộm Bitcoin từ ví phần cứng của anh ta, trị giá khoảng 1.76 tỷ đô la Mỹ. Bằng chứng từ ghi âm và lệnh khám xét hỗ trợ yêu cầu của nguyên đơn, tòa án đã quyết định duy trì lệnh tịch thu tài sản nhưng bác bỏ một phần đơn kiện. Thẩm phán cho rằng nguyên đơn có khả năng thắng kiện rất cao và đề nghị khai mạc phiên tòa sớm nhất.
区块客2giờ trước
FBI: Xuất hiện lừa đảo token FBI giả mạo TRC20, thông tin cá nhân và bảo mật của người dùng lại bị cảnh báo
Văn phòng FBI New York cảnh báo người dùng blockchain rằng nếu nhận được token TRC-20 tuyên bố liên quan đến FBI, họ nên tăng cảnh báo và tránh tiết lộ thông tin cá nhân. Kỹ thuật lừa đảo này lạm dụng tên FBI giả mạo, tác động áp lực lên nạn nhân nộp tài liệu và hướng dẫn đến các trang web lừa đảo để thực hiện các vụ lừa đảo tài sản.
区块客7giờ trước
Cá voi NFT bị tấn công tiếp tục di chuyển tiền
Arkham reported that stolen funds were moved for the first time since March 6, 2026, with nearly $1 million DAI transferred. The theft stemmed from a violent attack on Ethereum NFT whale Sillytuna, resulting in $23.6 million stolen. Over $7 million remains traceable, illustrating a rise in real-world crypto thefts.
TapChiBitcoin9giờ trước
Cơ quan Thuế Hàn Quốc có kế hoạch hoàn thành việc lựa chọn nhà cung cấp dịch vụ giam giữ tài sản ảo trong nửa đầu năm
Gate News reported that on March 21, South Korea's National Tax Service plans to complete the selection of virtual asset custody service providers in the first half of this year. This initiative stems from a virtual asset theft incident that occurred last month, during which the National Tax Service accidentally leaked mnemonic phrase information when announcing on-site search results, leading to two consecutive thefts of seized virtual assets.
GateNews10giờ trước
