2026年2月26日 – ベトナムに拠点を置くDeFAI Holdstationのスマートウォレットプロジェクト(WorldcoinとBNB Chain上に構築)は、2026年2月25日未明に深刻なサプライチェーン攻撃の被害を受けたことを確認しました。総被害額は462,000 USDTです。
これは2026年に入ってからの同プロジェクトの2回目のセキュリティインシデントで、1月の約10万ドルの流出に続くものです。
サプライチェーン攻撃:スマートコントラクトではなく配信インフラを狙う
公式発表によると、ハッカーはユーザーのウォレットやスマートコントラクトに直接侵入したわけではありません。Holdstationと監査会社のVerichainsは、スマートコントラクトは安全であると断言しています。
代わりに、攻撃者はアプリの配信インフラを狙いました。これは、ユーザーにアップデートを提供する部分です。
具体的には、ハッカーは以下の操作を行いました:
インフラを掌握した後、攻撃者は公式アプリのJavaScriptファイルを改ざんし、バックドアとしてマルウェアを埋め込みました。ユーザーがアプリを更新すると、意図せず感染したバージョンをインストールしてしまいます。
「静かに」資金引き出しの仕組み
マルウェアはインストール直後に動作するように設計されています。
その結果、感染したアップデートがリリースされてから数分以内に、多くのウォレットから資金が引き出されました。
Holdstationの緊急対応(30分以内)
公開されたタイムライン(UTC+7)によると:
その後、HoldstationはVerichainsと連携し、オンチェーンデータの分析と証拠収集を行い、調査を進めました。
現在までに確認された総被害額は462,000 USDTです。
ユーザーへの100%返金を約束
Holdstationは、影響を受けた資産の価値を100%補償することを約束しています。ユーザーは以下の公式フォームに記入してください:
https://forms.gle/9FriUzFWHx6ZPXCS7
チームはオンチェーンの検証とウォレット所有権の確認を行った後、返金を実施します。プロジェクトは、返金手続き中にシードフレーズやプライベートキー、手数料の請求を行わないことを強調しています。
セキュリティの教訓
この事件は、スマートコントラクトが安全であっても、ソフトウェア配信インフラの脆弱性が大きな損失を引き起こす可能性があることを示しています。これはサプライチェーン攻撃の一種であり、ハッカーは製品の「入口」に侵入し、直接ユーザーを攻撃するのではなく、配信経路を狙います。
Holdstationは、リリースプロセス全体のアップグレードを進めていると述べています。
この事件は、ホーチミン市に拠点を置くDeFiウォレットプロジェクトの一つとして、ベトナムの暗号通貨コミュニティから大きな関心を集めています。
今後も調査の進捗を随時更新していく予定です。
ヴォアン・ティエン
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は
免責事項をご参照ください。
関連記事
量子コンピューターで9分間にビットコインを「解読(クラッキング)」するとは実際にはどういう意味か
GoogleのQuantum AIチームは今週初めに、将来の量子コンピュータが公開鍵からビットコインの秘密鍵をおよそ9分で導き出せる可能性があると述べました。その数値はソーシャルメディアを駆け巡り、市場を震え上がらせました。
しかし、実際にはそれはどういう意味なのでしょうか?
まずはビットコインの仕組みから始めましょう
CoinDesk4時間前
日本の金融庁が暗号資産交換業のためのサイバーセキュリティ強化方針を公表
日本の金融庁は、「暗号資産の交換業等に係るサイバーセキュリティ強化のための取組方針」を公表し、投資家の資産保護を強化することを目的として、3層のセキュリティ・フレームワークを提唱し、サイバー攻撃の新たな状況に対応する。続いて、主要な事業者に対して浸透テスト(ペネトレーションテスト)を実施する計画があり、また、安全基準の引き上げを図るために指針を改訂する。
GateNews5時間前
HypurrFi が疑似的にドメインハイジャックに遭遇した可能性があるため、プロジェクト側がユーザーに対し公式サイトの利用を一時停止するよう注意を促しています
DeFi 貸借プロトコル HypurrFi が安全上の警告を発表し、同社のWebサイトのドメインが侵害されたと述べました。ユーザーに対し、そのドメインを使用しないこと、そして対話を停止することを呼びかけています。チームはユーザーの資金の安全性を確認しており、ドメイン乗っ取りの事案を調査中です。
GateNews8時間前
イーロン・マスクのXが初めて暗号資産を投稿し、アカウントを自動ロックする機能を開始
Xは、最初の暗号資産の投稿でアカウントを自動的にロックする新機能を実装して、フィッシング攻撃に対抗します。これは、ハイジャックされたアカウントが詐欺に悪用されることを減らしつつ、ユーザーのセキュリティを強化することを目的としています。
Coinpedia13時間前
ZachXBTは、2022年以降「コンプライアンス上の不備」によりCircleに4億2000万ドルをめぐって非難している
オンチェーン・ディテクティブのZachXBTは、USDCステーブルコインの発行体であるCircleが、2022年以降の違法な資金フロー約4億2000万ドル分について凍結もブラックリスト化もできなかったと主張している。
Circleは違法な資金を凍結し、ウォレットアドレスをブラックリストに登録することはできるが、「最小限」の措置しか講じていない。もしくは
Cointelegraph13時間前
Circle が不正資金の放置で4.2億ドルが流動!ZachXBT が USDC のコンプライアンス上の抜け穴を暴き、論争を引き起こす
米国のステーブルコイン企業Circleは、疑わしいUSDC資金4.2億ドル超を効果的に凍結できなかったとして告発された。調査員ZachXBTは、2022年以降、Circleが複数のハッキング事件において凍結措置の実行を遅らせており、市場でそのコンプライアンス(法令順守)への疑念が生じていると指摘した。事件におけるDrift Protocolへの攻撃は、さらにCircle批判が焦点となる事態を招いた。市場はCircleにリスク管理基準の引き上げを求め、その後の同社のコンプライアンス執行の遅れはユーザーに重大な損失を与えている。
ChainNewsAbmedia14時間前
