Ngày 26/02/2026 – Dự án ví thông minh DeFAI Holdstation có trụ sở tại Việt Nam (xây dựng trên Worldcoin và BNB Chain) xác nhận đã trở thành nạn nhân của một vụ tấn công chuỗi cung ứng nghiêm trọng vào rạng sáng 25/02/2026. Tổng thiệt hại được ghi nhận là 462.000 USDT.
Đây là sự cố bảo mật thứ hai của dự án trong năm 2026, sau vụ thất thoát khoảng 100.000 USD hồi tháng 1.
Tấn công chuỗi cung ứng: Không đánh vào smart contract mà vào hạ tầng phân phối
Theo thông báo chính thức, hacker không xâm nhập trực tiếp vào ví người dùng hay hợp đồng thông minh. Phía Holdstation và đơn vị kiểm toán Verichains khẳng định các smart contract vẫn an toàn.
Thay vào đó, kẻ tấn công nhắm vào hạ tầng phân phối ứng dụng – nơi cung cấp các bản cập nhật cho người dùng.
Cụ thể, hacker đã:
Sau khi kiểm soát hạ tầng, attacker chỉnh sửa file JavaScript trong phiên bản ứng dụng chính thức, chèn mã độc dưới dạng backdoor. Người dùng khi cập nhật ứng dụng đã vô tình cài đặt phiên bản bị nhiễm mã độc.
Cơ chế rút tiền “im lặng”
Mã độc được thiết kế để hoạt động ngay sau khi cài đặt:
Hậu quả là nhiều ví bị rút tiền chỉ trong vài phút đầu tiên kể từ khi bản cập nhật độc hại được phát hành.
Phản ứng khẩn cấp trong vòng 30 phút của Holdstation
Theo dòng thời gian được công bố (UTC+7):
Sau đó, Holdstation phối hợp với Verichains để phân tích dữ liệu on-chain và thu thập bằng chứng phục vụ điều tra.
Tổng thiệt hại được xác nhận hiện tại là 462.000 USDT.
Cam kết hoàn trả 100% cho người dùng
Holdstation cam kết bồi thường 100% giá trị tài sản bị ảnh hưởng. Người dùng cần điền biểu mẫu chính thức tại:
https://forms.gle/9FriUzFWHx6ZPXCS7
Đội ngũ sẽ tiến hành xác minh on-chain và xác thực quyền sở hữu ví trước khi hoàn trả. Dự án nhấn mạnh không yêu cầu seed phrase, private key hay bất kỳ khoản phí nào trong quá trình bồi thường.
Bài học bảo mật cho ngành
Sự cố cho thấy ngay cả khi hợp đồng thông minh an toàn, lỗ hổng tại lớp hạ tầng phân phối phần mềm vẫn có thể gây tổn thất lớn. Đây là dạng tấn công chuỗi cung ứng – nơi hacker xâm nhập vào “đầu vào” của sản phẩm thay vì tấn công trực diện người dùng.
Holdstation cho biết đang nâng cấp toàn bộ quy trình phát hành, bao gồm:
Vụ việc đang thu hút sự quan tâm lớn từ cộng đồng crypto Việt Nam, khi Holdstation là một trong những dự án ví DeFi có trụ sở tại TP.HCM.
Dự án cam kết tiếp tục cập nhật tiến độ điều tra trong thời gian tới.
Vương Tiễn
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Ví Web3 Zerion phát hiện hoạt động bất thường của nền tảng, dịch vụ phía web tạm thời ngừng hoạt động
Tin tức từ Gate News: vào ngày 11 tháng 4, ví Web3 Zerion đã đăng thông báo trên nền tảng X, cho biết họ đã phát hiện hoạt động bất thường trên nền tảng; dịch vụ ứng dụng trên web đã tạm thời ngừng hoạt động. Zerion nhắc người dùng tạm thời không sử dụng ứng dụng trên web; hiện tại, ứng dụng trên iOS và Android, cũng như chương trình tiện ích mở rộng của trình duyệt, vẫn đang hoạt động bình thường và an toàn, và tiền của người dùng trong ví không bị ảnh hưởng. Zerion cho biết đang tích cực theo dõi tình hình và sau khi ứng dụng web được khôi phục sẽ thông báo cho người dùng.
GateNews4giờ trước
Ví Phantom gặp sự cố nghiêm trọng! Trong giai đoạn airdrop, giá coin bị rối loạn, số dư về 0, người dùng bực tức chỉ trích “đền tiền”
Ví Phantom trong hệ sinh thái Solana đã xảy ra gián đoạn dịch vụ trong thời gian diễn ra airdrop, khiến giá token và số dư tài khoản hiển thị bất thường, ảnh hưởng đến giao dịch của người dùng. Một số người dùng vì vậy đã bị thiệt hại và yêu cầu được bồi thường. Các chuyên gia an ninh cảnh báo có rủi ro bị tấn công lừa đảo (phishing) và khuyên người dùng xác minh dữ liệu trên chuỗi. Mặc dù sự cố đã được khắc phục, nhưng cuộc khủng hoảng niềm tin vẫn cần được theo dõi. Sự kiện lần này đã làm nổi bật những thách thức của ví tự quản (self-custody) đối với độ ổn định hệ thống và trải nghiệm sử dụng.
区块客5giờ trước
TAO Giảm 25% khi Đồng sáng lập Bittensor Bị Buộc Tội Dùng Bán Token để Ép Tuân Thủ
Token TAO của Bittensor đã giảm 25% do các cáo buộc về việc kiểm soát tập trung bởi đồng sáng lập Jacob Steeves, dẫn đến mất mát $650 triệu vốn hóa thị trường và $9.1 triệu bị thanh lý. Cuộc tranh cãi làm dấy lên những lo ngại về cơ chế quản trị của dự án.
Coinpedia5giờ trước
Bitcoin Depot Tiết lộ Trộm cắp 3,6 triệu USD BTC Sau Vụ Hack Tài khoản Thanh toán
Bitcoin Depot đã báo cáo một vụ vi phạm bảo mật, trong đó tin tặc đã đánh cắp 50.9 BTC, trị giá khoảng $3.6 triệu, bằng cách xâm nhập vào thông tin đăng nhập của tài khoản thanh toán nội bộ. Sự cố này nêu bật những lỗ hổng trong cơ sở hạ tầng vận hành của các công ty tiền mã hóa, đồng thời nhấn mạnh nhu cầu cần tăng cường các biện pháp bảo mật.
CryptoNewsFlash8giờ trước
OpenAI phát hành thông báo về sự cố an toàn của thư viện bên thứ ba: không phát hiện rò rỉ dữ liệu người dùng hoặc xâm nhập hệ thống
OpenAI đã công bố thông báo an toàn vào ngày 11 tháng 4, xác nhận đã phát hiện vấn đề an toàn liên quan đến thư viện bên thứ ba Axios, nhưng không tìm thấy bằng chứng cho thấy dữ liệu người dùng bị truy cập. Để đảm bảo an toàn, công ty yêu cầu tất cả người dùng macOS cập nhật lên phiên bản mới nhất nhằm ngăn ngừa rủi ro từ các ứng dụng giả mạo.
GateNews8giờ trước
Từ năm 2026 đến nay, tổn thất an ninh chuỗi khối (blockchain) gần 800 triệu USD, các sự kiện liên quan đến Triều Tiên chiếm khoảng 42%
Kể từ ngày 1 tháng 1 năm 2026, CertiK Alert đã ghi nhận 163 sự cố an ninh blockchain, với tổng thiệt hại khoảng 796,7 triệu USD, trong đó 12 vụ liên quan đến các nhóm tin tặc của Triều Tiên, với thiệt hại khoảng 329 triệu USD, chiếm 42% tổng thiệt hại. So với mức 60% của năm 2025, tỷ lệ này đã giảm.
GateNews10giờ trước
