26/02/2026 – Проект смарт-гаманця DeFAI Holdstation, зареєстрований у В’єтнамі (побудований на Worldcoin та BNB Chain), підтвердив, що став жертвою серйозної атаки на ланцюг постачання рано вранці 25/02/2026. Загальні збитки склали 462 000 USDT.
Це друга інцидент безпеки у проекті у 2026 році, після втрати близько 100 000 USD у січні.
Атака на ланцюг постачання: не націлена на смарт-контракт, а на інфраструктуру розповсюдження
За офіційною заявою, хакер не проник безпосередньо у гаманці користувачів або смарт-контракти. Holdstation та аудитова компанія Verichains запевнили, що смарт-контракти залишилися безпечними.
Замість цього, зловмисник атакував інфраструктуру розповсюдження додатку – місце, яке надає оновлення користувачам.
Конкретно, хакер зробив наступне:
Після контролю над інфраструктурою, зловмисник відредагував файл JavaScript у офіційній версії додатку, вставивши шкідливий код у вигляді бекдору. Користувачі, оновлюючи додаток, випадково встановлювали заражену версію.
Механізм «тихого» зняття коштів
Шкідливий код був розроблений так, щоб активуватися одразу після встановлення:
Внаслідок цього багато гаманців були обкрадені всього за кілька хвилин після випуску зараженого оновлення.
Екстрена реакція Holdstation протягом 30 хвилин
За оприлюдненим хронологічним порядком (UTC+7):
Після цього Holdstation співпрацював з Verichains для аналізу даних у ланцюгу та збору доказів для розслідування.
Загальні збитки наразі підтверджені у розмірі 462 000 USDT.
Гарантія 100% відшкодування користувачам
Holdstation обіцяє компенсувати 100% вартості втрачених активів. Користувачі повинні заповнити офіційну форму за посиланням:
https://forms.gle/9FriUzFWHx6ZPXCS7
Команда проведе он-чейн верифікацію та підтвердить право власності на гаманці перед поверненням коштів. Проект наголошує, що під час компенсації не потрібно надавати seed phrase, приватний ключ або будь-які збори.
Уроки безпеки для галузі
Інцидент показує, що навіть якщо смарт-контракти безпечні, вразливості на рівні інфраструктури розповсюдження програмного забезпечення можуть спричинити значні втрати. Це тип атаки на ланцюг постачання – коли хакер проникає у «вхідні точки» продукту, а не безпосередньо у користувачів.
Holdstation повідомляє, що оновлює весь процес випуску, зокрема:
Ця подія привертає значну увагу криптоспільноти В’єтнаму, оскільки Holdstation є одним із проектів DeFi-гаманців із штаб-квартирою у Хошиміні.
Проект обіцяє продовжувати оновлювати інформацію про хід розслідування найближчим часом.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Бамбукова федерація Хун Жень Асоціація чорна крадіжка! Невдоволення криптовалютного агента переходом встановлює пастку щоб потішити 33 мільйони USDT, прокуратура просить 23 років в'язниці
Тайбейська окружна прокуратура завершила розслідування грабежу. Головний підозрюваний Лі Йоу-куан організував махінацію через агента, який перейшов на іншу роботу, і насильницькою силою змусив потерпілого передати 330000 токенів USDT. Прокуратура висунула звинувачення проти 8 підозрюваних і рекомендує застосувати суворі покарання. Ця справа відображає відсутність регулювання на ринку віртуальних активів, що дозволило підземним структурам втручатися, призводячи до частих випадків «криптовалютної кровопролиття» у криптоспільноті.
ChainNewsAbmedia5хв. тому
500 млн доларів уразливості викликала суперечку: Білі капелюхи хакери скаржаться на затримку Injective та зменшення винагороди
Криптографічний дослідник безпеки al_f4lc0n звинувачує блокчейн-проект Injective в повільному спілкуванні при обробці критичної уразливості безпеки та оспорює розмір винагороди. Уразливість походить від дефекту механізму перевірки субрахунку, який загрожує активам понад 500 мільйонів доларів. al_f4lc0n не отримав належної винагороди, що викликає сумніви щодо управління безпекою Injective.
GateNews40хв. тому
172 млн доларів Bitcoin таємничо зникли: камери спостереження крали seed-фрази, CZ попереджає про ризики самокастодіалу
Британський бізнесмен Пінг Фай Юен звинувачує свою колишню дружину у крадіжці його біт-фрази для восстановлення Bitcoin та переведенні активів вартістю близько 172 мільйонів доларів. Справа розглядається в суді і стосується юридичних питань приватного спостереження та незаконного привласнення майна. Цей випадок розкриває проблеми безпеки моделі самостійного зберігання криптоактивів.
GateNews46хв. тому
Криптовалютна злочинність у Країні Басків Іспанії стрімко зростає: шахрайство, викрадення та випадки відмивання грошей стрімко зростають, поліція терміново модернізує систему відстеження
Криптовалютні злочини у Країні Басків в Іспанії швидко зростають, поліція розслідує 541 справу, пов'язану з шахрайством, відмиванням грошей та іншим. Соціальна платформа Instagram стала основним каналом шахрайства, поліція сформувала міжвідомчу команду для реагування. Органи регулювання наголошують на необхідності підвищення прозорості ринку та захисту користувачів для збалансування інновацій та безпеки.
GateNews47хв. тому
Polymarket 1.5 мільярда доларів битва викликала суперечку: ізраїльський журналіст отримав смертельні погрози, виявлено ризик маніпуляції ринку прогнозів
Платформа Polymarket опинилася в центрі скандалу через звіт ізраїльського журналіста про ракетний удар Ірану. Журналісту загрожували змінити його матеріал, що викликало занепокоєння щодо маніпуляцій на ринку та інформаційного втручання. Цей інцидент розкриває структурні ризики прогнозних ринків, підкреслює необхідність захисту незалежності ЗМІ та виявляє проблеми з прозорістю та відповідністю нормативним вимогам.
GateNews48хв. тому
Приватний ключ сертифіката 360 Security Lobster був витеклий, офіційні особи відповіли, що це була помилка у бізнесі, і сертифікат було відкликано
Команда безпеки 360 відповіла на інцидент із витоком сертифіката-джмеля та приватного ключа, заявивши, що через помилку у роботі внутрішній сертифікат був випадково включений до інсталяційного пакету. Витекший сертифікат обмежений лише для використання на одному пристрої, його було відкликано, реальний ризик є обмеженим, і він не впливає на звичайних користувачів.
GateNews1год тому
