2026年2月26日 – ベトナムに拠点を置くDeFAI Holdstationのスマートウォレットプロジェクト(WorldcoinとBNB Chain上に構築)は、2026年2月25日未明に深刻なサプライチェーン攻撃の被害を受けたことを確認しました。総被害額は462,000 USDTです。
これは2026年に入ってからの同プロジェクトの2回目のセキュリティインシデントで、1月の約10万ドルの流出に続くものです。
サプライチェーン攻撃:スマートコントラクトではなく配信インフラを狙う
公式発表によると、ハッカーはユーザーのウォレットやスマートコントラクトに直接侵入したわけではありません。Holdstationと監査会社のVerichainsは、スマートコントラクトは安全であると断言しています。
代わりに、攻撃者はアプリの配信インフラを狙いました。これは、ユーザーにアップデートを提供する部分です。
具体的には、ハッカーは以下の操作を行いました:
インフラを掌握した後、攻撃者は公式アプリのJavaScriptファイルを改ざんし、バックドアとしてマルウェアを埋め込みました。ユーザーがアプリを更新すると、意図せず感染したバージョンをインストールしてしまいます。
「静かに」資金引き出しの仕組み
マルウェアはインストール直後に動作するように設計されています。
その結果、感染したアップデートがリリースされてから数分以内に、多くのウォレットから資金が引き出されました。
Holdstationの緊急対応(30分以内)
公開されたタイムライン(UTC+7)によると:
その後、HoldstationはVerichainsと連携し、オンチェーンデータの分析と証拠収集を行い、調査を進めました。
現在までに確認された総被害額は462,000 USDTです。
ユーザーへの100%返金を約束
Holdstationは、影響を受けた資産の価値を100%補償することを約束しています。ユーザーは以下の公式フォームに記入してください:
https://forms.gle/9FriUzFWHx6ZPXCS7
チームはオンチェーンの検証とウォレット所有権の確認を行った後、返金を実施します。プロジェクトは、返金手続き中にシードフレーズやプライベートキー、手数料の請求を行わないことを強調しています。
セキュリティの教訓
この事件は、スマートコントラクトが安全であっても、ソフトウェア配信インフラの脆弱性が大きな損失を引き起こす可能性があることを示しています。これはサプライチェーン攻撃の一種であり、ハッカーは製品の「入口」に侵入し、直接ユーザーを攻撃するのではなく、配信経路を狙います。
Holdstationは、リリースプロセス全体のアップグレードを進めていると述べています。
この事件は、ホーチミン市に拠点を置くDeFiウォレットプロジェクトの一つとして、ベトナムの暗号通貨コミュニティから大きな関心を集めています。
今後も調査の進捗を随時更新していく予定です。
ヴォアン・ティエン
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は
免責事項をご参照ください。
関連記事
Venus Protocol $THE Pool における悪意のある活動を調査、フラッシュローン疑惑の中で
Venus Protocolは、$THE および$CAKE プール上の潜在的なフラッシュローン攻撃を示唆する疑わしいアクティビティについて調査中です。このため、プラットフォームがリスクおよび可能なマーケット操作に関するコミュニティの懸念を評価する際に、$THEの借入および引き出しが一時停止されています。
BlockChainReporter1時間前
韓国の裁判所は、Flow基金会による3つの取引所でのFLOWの上場廃止停止申請を却下した。
韓国ソウル中央地方裁判所は、Flow財団とDapper Labsによる3つの取引所に対する差止め申立てを却下し、FLOWの取引停止を支持しました。裁判所は証拠不足を理由に、投資者保護の必要性を認めました。FLOWはKorbitで引き続き取引可能ですが、他の3つの取引所からは既に上場廃止されています。
GateNews3時間前
Steamの8つのゲームにマルウェアが仕込まれ、FBIが2024年から2026年の被害者を特定
米国FBIは、Steamプラットフォーム上の8つのPCゲームについて調査を開始しました。これらのゲームは悪意のあるソフトウェアを含んでいる疑いがあり、主に2024年から2026年の間にダウンロードされたユーザーを対象としています。被害者はFBIに情報を提出することで補償を受けることができます。この事件は、Steamの膨大なユーザーベースが悪意のある攻撃の標的となっていることを示しており、暗号資産が主要な攻撃対象となっていることも明らかになっています。
MarketWhisper4時間前
百万取引のインフルエンサーが課金販売で利益を得ていると暴露される。取引の達人とコンテンツ系インフルエンサーの境界線はどこにあるのか?
アメリカの取引インフルエンサーであるImanTradingは、最近公開した動画の中で、取引インフルエンサーのTJR(Tyler Riches)がコースやシグナルグループを通じて利益を得ている一方で、実際の取引は行っていないと非難しました。動画では、TJRが友人からお金を借りて取引を行い損失を出したことや、彼の取引成績に虚偽の部分があることも明らかにされています。また、TJRの有料コースについては、宣伝されている受講者数を超える人数が実際に参加している疑いがあり、教育の質についても検証が難しいと指摘されています。この事件は、インフルエンサーと本物の取引者との境界線についての議論を呼び起こしています。
ChainNewsAbmedia5時間前
Venus Protocol、ハッキング被害で370万ドルの損失:$THE 低流動性トークンが攻撃の突破口となり、BNB Chain DeFiが再び警告を発する
分散型レンディングプロトコルのVenus Protocolは、2026年3月15日に約370万ドルの攻撃を受け、218万ドルの不良債権を生じさせました。攻撃者は、流動性の低いトークン$THEの価格を操縦し、オンチェーンの借入とオフチェーンのデリバティブを組み合わせて複雑な攻撃を仕掛け、システミックリスクを露呈させました。この事件は、業界において担保資格基準やリスクパラメータの設計を見直すきっかけとなりました。
ChainNewsAbmedia6時間前
Venus Protocolが「清算炸彈」攻撃を受ける:ハッカーが9ヶ月間正常操作を偽装し、215万ドルの不良債権を生み出す
BNBチェーンのレンディングプロトコルであるVenus Protocolは、3月16日に9ヶ月にわたる計画的なハッキング攻撃を受け、最終的に約507万ドル相当の資産を引き出され、215万ドルの不良債権を生じさせました。攻撃者はTHEトークンの価格を操作して清算を引き起こし、Venusは複数の市場の担保係数を引き下げることで対応しました。これは、DeFiプロトコルにおける低流動性トークンのリスクを浮き彫りにしています。
動區BlockTempo7時間前
