26/02/2026 – Проект умного кошелька DeFAI Holdstation, базирующийся во Вьетнаме (строится на Worldcoin и BNB Chain), подтвердил, что стал жертвой серьезной атаки на цепочку поставок, произошедшей в ранние часы 25/02/2026. Общий ущерб составил 462 000 USDT.
Это вторая инцидент безопасности проекта в 2026 году, после утечки примерно 100 000 USD в январе.
Атака на цепочку поставок: не на smart contract, а на инфраструктуру распространения
По официальному заявлению, хакер не проник напрямую в кошельки пользователей или в смарт-контракты. Компания Holdstation и аудиторы из Verichains подтвердили, что смарт-контракты остаются в безопасности.
Вместо этого злоумышленник нацелился на инфраструктуру распространения приложения — место, где предоставляются обновления для пользователей.
Конкретно, хакер:
После контроля инфраструктуры, злоумышленник отредактировал файл JavaScript в официальной версии приложения, вставив вредоносный код в виде бэкдора. Пользователи, обновляя приложение, случайно устанавливали зараженную версию.
Механизм «тихого» вывода средств
Вредоносный код был разработан так, чтобы активироваться сразу после установки:
В результате, многие кошельки были очищены от средств всего за несколько минут после выпуска зараженного обновления.
Срочные меры реагирования в течение 30 минут от Holdstation
Согласно опубликованной хронологии (UTC+7):
Затем Holdstation совместно с Verichains проанализировали данные on-chain и собрали доказательства для расследования.
Общий подтвержденный ущерб на данный момент составляет 462 000 USDT.
Обещание полного возмещения пользователям
Holdstation обещает возместить 100% стоимости пострадавших активов. Пользователи должны заполнить официальную форму по ссылке:
https://forms.gle/9FriUzFWHx6ZPXCS7
Команда проведет проверку on-chain и подтвердит право собственности на кошельки перед возвратом. Проект подчеркивает, что для возмещения не требуется seed phrase, приватный ключ или любые сборы.
Уроки безопасности для отрасли
Инцидент показывает, что даже при наличии безопасных смарт-контрактов уязвимости на уровне инфраструктуры распространения программного обеспечения могут привести к значительным потерям. Это пример атаки на цепочку поставок — когда злоумышленник проникает в «входные точки» продукта, а не атакует напрямую пользователей.
Holdstation сообщает, что обновляет весь процесс выпуска, включая:
Дело привлекает большое внимание криптосообщества Вьетнама, поскольку Holdstation — один из проектов DeFi-кошельков, базирующихся в Хошимине.
Проект обещает продолжать информировать о ходе расследования в ближайшее время.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Drift подвергся взлому на 280 миллионов долларов: юрфирма подала на Circle коллективный иск, обвиняя в том, что компания позволяла хакерам отмывать деньги, но не замораживала активы
Американская юридическая фирма Gibbs Mura начинает расследование по коллективному иску в связи с хакерским инцидентом в Drift Protocol, произошедшим 1 апреля, обвиняя эмитента стейблкоина USDC Circle в том, что он не смог заморозить украденные средства в размере 230 млн долларов. Юридическая фирма проведет расследование двойных стандартов Circle в этом инциденте и его уязвимостей в мониторинге; это дело окажет существенное влияние на правовую ответственность эмитентов стейблкоинов.
動區BlockTempo1ч назад
Кошелёк Phantom полностью завис! Во время аирдропа цена токенов ведёт себя некорректно, баланс обнуляется, пользователи в ярости кричат: «Компенсируйте убытки»
Во время периода эйрдропа в экосистеме Solana произошёл сбой в работе кошелька Phantom, из-за чего наблюдались аномалии в отображении цены токенов и балансов аккаунтов, что повлияло на торговые операции пользователей. Некоторые пользователи из-за этого понесли убытки и требуют компенсации. Специалисты по безопасности предупреждают о риске фишинговых атак и рекомендуют пользователям проверять данные в блокчейне. Хотя проблему уже устранили, кризис доверия всё ещё требует наблюдения. Это событие наглядно подчеркнуло трудности, с которыми сталкивается self-custody-кошелёк в части стабильности системы и пользовательского опыта.
区块客3ч назад
Circle отвечает на инцидент с взломом Drift Protocol: заморозка USDC должна быть выполнена в соответствии с законом, призыв ускорить принятие законодательства о криптовалютах
Генеральный директор по стратегии Circle Данте Диспарте прокомментировал инцидент с кражей Drift Protocol, подчеркнув, что заморозка USDC осуществляется в рамках закона, призвал усилить координацию между правом и технологиями и предложил децентрализованным финансовым протоколам заимствовать механизмы защиты традиционных рынков, чтобы обеспечить правовую защиту права собственности и финансовой конфиденциальности.
GateNews5ч назад
Aethir предотвращает атаку с эксплуатацией уязвимости на кроссчейн-мосту, потери удержаны на уровне 90k долларов США и компания обязуется возместить ущерб
Децентрализованная платформа облачных GPU-вычислений Aethir подтвердила, что ее смарт-контракт моста Ethereum подвергся атаке, а потери удерживаются в пределах 90k долларов США. Команда своевременно отключила контракт и сотрудничает с биржами для работы с кошельком хакеров. Злоумышленники использовали кроссчейн-умный контракт для перевода средств. Aethir планирует опубликовать план компенсаций на следующей неделе; ожидается, что выручка в 2025 году достигнет 127,8 миллиона долларов США.
GateNews5ч назад
Bitcoin Depot раскрывает хищение 3,6 млн BTC после взлома расчетных счетов
Bitcoin Depot сообщил о нарушении безопасности: хакеры похитили 50.9 BTC, что составляет примерно $3.6 миллиона, взломав учетные данные внутренних платежных счетов. Этот инцидент подчеркивает уязвимости в операционной инфраструктуре криптокомпаний, подчеркивая необходимость усиления мер безопасности.
CryptoNewsFlash8ч назад
Aethir успешно пресек кроссчейн-атаку через мост для токенов ATH, потери пользователей ниже 90k долларов США
Aethir 10 апреля опубликовал(а) уведомление о безопасности, подтвердив, что успешно пресек вредоносную атаку на кроссчейн-мостовой контракт токена ATH. Убытки составили менее 90 000 долларов США. Все затронутые контракты были отключены, а объём/количество поставок при этом остался(ось) без изменений. Aethir будет сотрудничать с торговыми платформами и правоохранительными органами, добиваясь заморозки средств и отслеживания злоумышленников, а также опубликует в Discord-сообществе ход расследования и план компенсаций.
GateNews9ч назад
