26/02/2026 – Проект умного кошелька DeFAI Holdstation, базирующийся во Вьетнаме (строится на Worldcoin и BNB Chain), подтвердил, что стал жертвой серьезной атаки на цепочку поставок, произошедшей в ранние часы 25/02/2026. Общий ущерб составил 462 000 USDT.
Это вторая инцидент безопасности проекта в 2026 году, после утечки примерно 100 000 USD в январе.
Атака на цепочку поставок: не на smart contract, а на инфраструктуру распространения
По официальному заявлению, хакер не проник напрямую в кошельки пользователей или в смарт-контракты. Компания Holdstation и аудиторы из Verichains подтвердили, что смарт-контракты остаются в безопасности.
Вместо этого злоумышленник нацелился на инфраструктуру распространения приложения — место, где предоставляются обновления для пользователей.
Конкретно, хакер:
После контроля инфраструктуры, злоумышленник отредактировал файл JavaScript в официальной версии приложения, вставив вредоносный код в виде бэкдора. Пользователи, обновляя приложение, случайно устанавливали зараженную версию.
Механизм «тихого» вывода средств
Вредоносный код был разработан так, чтобы активироваться сразу после установки:
В результате, многие кошельки были очищены от средств всего за несколько минут после выпуска зараженного обновления.
Срочные меры реагирования в течение 30 минут от Holdstation
Согласно опубликованной хронологии (UTC+7):
Затем Holdstation совместно с Verichains проанализировали данные on-chain и собрали доказательства для расследования.
Общий подтвержденный ущерб на данный момент составляет 462 000 USDT.
Обещание полного возмещения пользователям
Holdstation обещает возместить 100% стоимости пострадавших активов. Пользователи должны заполнить официальную форму по ссылке:
https://forms.gle/9FriUzFWHx6ZPXCS7
Команда проведет проверку on-chain и подтвердит право собственности на кошельки перед возвратом. Проект подчеркивает, что для возмещения не требуется seed phrase, приватный ключ или любые сборы.
Уроки безопасности для отрасли
Инцидент показывает, что даже при наличии безопасных смарт-контрактов уязвимости на уровне инфраструктуры распространения программного обеспечения могут привести к значительным потерям. Это пример атаки на цепочку поставок — когда злоумышленник проникает в «входные точки» продукта, а не атакует напрямую пользователей.
Holdstation сообщает, что обновляет весь процесс выпуска, включая:
Дело привлекает большое внимание криптосообщества Вьетнама, поскольку Holdstation — один из проектов DeFi-кошельков, базирующихся в Хошимине.
Проект обещает продолжать информировать о ходе расследования в ближайшее время.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Мошенничество с «сетевыми романами» в Instagram: «эксперт» по криптовалютным инвестициям обманул 65-летнюю женщину на 200 万 (2 млн)
Полиция Гонконга недавно раскрыла дело о мошенничестве через онлайн-знакомства, в ходе которого пострадали более чем на 2 млн гонконгских долларов. Мошенники в Instagram проявляли инициативу и знакомились, после установления доверия под видом «инвестиций в криптовалюту» убеждали жертву в семь этапов обменять средства на USDT и совершить переводы. Полиция напоминает гражданам распознавать признаки мошенничества и советует использовать инструменты защиты от мошенничества, сохраняя настороженность при любых онлайн-знакомствах, где фигурируют переводы.
MarketWhisper51м назад
Джастин Сан критикует токен WLFI из-за опасений по поводу прозрачности
Джастин Сан раскрыл, что в проекте World Liberty Finance в его смарт-контрактах есть функции для скрытого доступа (backdoor), позволяющие конфисковывать активы без уведомления. Это нарушает принципы децентрализации, вредит правам инвесторов и подрывает доверие в блокчейн-сообществе.
BlockChainReporter56м назад
Смарт-контракт Ethereum Hyperbridge HandlerV1 подвергся повторной атаке с использованием доказательства MMR, ущерб составил около 242k долларов США
Контракт Hyperbridge HandlerV1 на Ethereum подвергся атаке с повторным воспроизведением доказательства MMR, потери составили около 242k долларов США. Злоумышленник использовал уязвимость, чтобы повторно воспроизвести исторические доказательства для выполнения привилегированных операций; защита от повторного воспроизведения не смогла эффективно связать запрос с полезной нагрузкой.
GateNews57м назад
Мост Hyperbridge для межсетевых переводов подвергся атаке: злоумышленники отчеканили 1 миллиард DOT-токенов и устроили распродажу (дамп)
Контракт межцепочечного шлюза Hyperbridge недавно подвергся атаке: злоумышленник подделал сообщения и изменил права администратора контракта, незаконно отчеканил 1 миллиард мостовых DOT и полностью их продал, но из-за недостаточной ликвидности в итоге получил прибыль всего около 237 тыс. долларов США. Это событие не повлияло на безопасность нативной сети Polkadot.
MarketWhisper1ч назад
Женщина из Гонконга стала жертвой криптовалютного «свиного убойного» мошенничества, потеряв более 2 млн гонконгских долларов
Полиция Гонконга сообщила, что женщина старше пятидесяти лет стала жертвой мошенничества с криптовалютой и понесла убытки на сумму более 2 миллионов гонконгских долларов. Мошенник через Instagram установил с ней отношения, побуждал ее инвестировать и требовал многократные переводы, а в итоге исчез.
GateNews1ч назад
В криптосообществе был использован мостовой уязвимости Polkadot: 1 миллиард DOT был отчеканен в сети Ethereum и выставлен на продажу
Новости Gate News, 13 апреля, рыночные новости показывают, что уязвимость моста Polkadot была использована: злоумышленники отчеканили 1 миллиард DOT в сети Ethereum и уже их продали.
GateNews2ч назад
