26/02/2026 – Le projet de portefeuille intelligent DeFAI Holdstation basé au Vietnam (construit sur Worldcoin et BNB Chain) a confirmé avoir été victime d’une attaque sérieuse de la chaîne d’approvisionnement dans la nuit du 25/02/2026. La perte totale enregistrée s’élève à 462 000 USDT.
C’est la deuxième faille de sécurité du projet en 2026, après une perte d’environ 100 000 USD en janvier.
Attaque de la chaîne d’approvisionnement : pas contre le smart contract mais contre l’infrastructure de distribution
Selon une déclaration officielle, le hacker n’a pas pénétré directement dans le portefeuille utilisateur ou le contrat intelligent. Holdstation et l’auditeur Verichains affirment que les smart contracts restent sécurisés.
Au lieu de cela, l’attaquant a ciblé l’infrastructure de distribution de l’application – le point de livraison des mises à jour pour les utilisateurs.
Plus précisément, le hacker a :
Après avoir pris le contrôle de l’infrastructure, l’attaquant a modifié le fichier JavaScript dans la version officielle de l’application, insérant un code malveillant sous forme de porte dérobée. Lors de la mise à jour, les utilisateurs ont involontairement installé une version infectée.
Mécanisme de retrait “silencieux”
Le code malveillant est conçu pour fonctionner immédiatement après l’installation :
Ce qui a permis à de nombreux portefeuilles d’être vidés en quelques minutes seulement après la diffusion de la mise à jour infectée.
Réaction d’urgence de Holdstation en 30 minutes
Selon la chronologie publiée (UTC+7) :
Ensuite, Holdstation a collaboré avec Verichains pour analyser les données on-chain et recueillir des preuves pour l’enquête.
La perte totale actuellement confirmée s’élève à 462 000 USDT.
Engagement à rembourser 100% aux utilisateurs
Holdstation s’engage à rembourser la totalité de la valeur des actifs affectés. Les utilisateurs doivent remplir le formulaire officiel à l’adresse :
https://forms.gle/9FriUzFWHx6ZPXCS7
L’équipe procédera à une vérification on-chain et à la validation de la propriété du portefeuille avant de procéder au remboursement. Le projet souligne qu’aucune phrase de seed, clé privée ou frais ne seront requis lors du processus de compensation.
Leçons de sécurité pour l’industrie
Cet incident montre que même si le contrat intelligent est sécurisé, une faille dans l’infrastructure de distribution logicielle peut entraîner de lourdes pertes. Il s’agit d’une attaque de la chaîne d’approvisionnement – où le hacker s’introduit dans la “entrée” du produit plutôt que d’attaquer directement l’utilisateur.
Holdstation indique qu’il améliore l’ensemble du processus de déploiement, notamment :
L’incident suscite beaucoup d’intérêt dans la communauté crypto vietnamienne, car Holdstation est l’un des projets de portefeuille DeFi basé à Hô Chi Minh-Ville.
Le projet s’engage à continuer de mettre à jour l’avancement de l’enquête dans les prochains temps.
Vương Tiễn
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Arnaque de Drainage de Portefeuille Ciblant la Communauté Openclaw Avec un Faux Airdrop
Une campagne de phishing sur Github cible les développeurs Openclaw, les trompant en les incitant à connecter des portefeuilles crypto via de fausses offres de tokens. Les utilisateurs sont avertis d'éviter de tels sites pour protéger leurs fonds.
CoinpediaIl y a 5h
iPhone : Faille critique « DarkSword » découverte - Les pirates peuvent voler les portefeuilles de cryptomonnaies et les clés privées, les utilisateurs de la crypto-monnaie deviennent de nouvelles cibles
Google a récemment révélé que la chaîne d'attaque DarkSword iOS exploite plusieurs vulnérabilités zéro jour, menaçant la sécurité des actifs des utilisateurs de cryptomonnaies. Cet outil d'attaque est largement utilisé par les logiciels d'espionnage commercial et les pirates informatiques parrainés par l'État, capable de contrôler complètement les iPhones, d'accéder aux portefeuilles cryptographiques et aux données sensibles. Les recherches montrent que le nombre de dispositifs iPhone affectés atteint 2,7 milliards, le risque étant particulièrement grave pour les utilisateurs habituels de Web3. Bien qu'Apple ait déjà corrigé les vulnérabilités, les techniques d'attaque restent reproductibles et les menaces potentielles persistent.
ChainNewsAbmediaIl y a 10h
Ripple Clarifie : Aucun Telegram Officiel Alors que les Comptes Frauduleux Augmentent - U.Today
RippleX avertit de l'augmentation des comptes usurpant l'identité sur Telegram se faisant passer pour des représentants de Ripple, en soulignant que Ripple n'a pas de canal officiel et en exhortant les utilisateurs de XRP à vérifier les communications. Le XRP Ledger connaît une croissance record, avec plus de 7,7 millions de détenteurs, soutenu par une réglementation favorable de la SEC.
UTodayIl y a 12h
BONK.fun redémarre après un détournement de domaine, confirmant des dommages de 30 000 $
BONK.fun a repris ses opérations après un incident récent de prise de contrôle de domaine qui a causé une perte de 30 000 $ pour les utilisateurs. L'attaque, attribuée à une vulnérabilité du fournisseur tiers, impliquait des tactiques de phishing. Malgré la récupération du domaine, les risques persistent car certains logiciels antivirus le signalent toujours, et le prix du jeton BONK continue de baisser.
TapChiBitcoinIl y a 13h
Le mari accuse sa femme d'avoir volé plus de 2 000 bitcoins ! Le juge : la probabilité de victoire du demandeur est très élevée
La Haute Cour britannique a récemment examiné une affaire de vol de bitcoins. Le demandeur Ping Fai Yuen accuse son épouse séparée Fun Yung Li d'avoir volé des bitcoins de son portefeuille matériel en prenant des photos cachées, d'une valeur d'environ 1,76 milliards de dollars. Les preuves enregistrées et les résultats de la perquisition soutiennent les allégations du demandeur. Le tribunal a maintenu l'ordonnance de gel des actifs, mais a rejeté certaines demandes. Le juge a estimé que la probabilité que le demandeur gagne était extrêmement élevée et a recommandé de tenir audience dès que possible.
区块客Il y a 14h
FBI:Arnaque aux faux jetons FBI TRC20, nouvelles alertes concernant les données personnelles et la sécurité des utilisateurs
Le bureau de New York du FBI américain avertit les utilisateurs de blockchain que s'ils reçoivent des jetons TRC-20 prétendument liés au FBI, ils doivent être vigilants et éviter de divulguer des informations personnelles. Cette arnaque utilise une fausse identité du FBI pour faire pression sur les victimes afin qu'elles soumettent des données et les diriger vers des sites de phishing pour commettre des fraudes aux actifs.
区块客Il y a 19h
