2026年2月26日——总部位于越南的DeFAI Holdstation智能钱包项目(基于Worldcoin和BNB链)确认在2026年2月25日凌晨遭遇严重的链上供应链攻击。总损失为462,000 USDT。
这是该项目在2026年发生的第二起安全事件,之前在一月曾损失约100,000美元。
供应链攻击:不攻击智能合约,而是攻击分发基础设施
根据官方公告,黑客并未直接入侵用户钱包或智能合约。Holdstation和审计机构Verichains确认智能合约仍然安全。
相反,攻击者瞄准了应用的分发基础设施——为用户提供更新的渠道。
具体来说,黑客已:
控制基础设施后,修改了正式版本应用中的JavaScript文件,在其中植入后门式的恶意代码。用户在更新应用时,无意中安装了被感染的版本。
“静默”提款机制
恶意代码设计为在安装后立即生效:
导致许多钱包在恶意更新发布后的前几分钟内被盗取资金。
Holdstation的紧急反应(30分钟内)
根据公布的时间线(UTC+7):
随后,Holdstation与Verichains合作,分析链上数据并收集证据以进行调查。
目前确认的总损失为462,000 USDT。
承诺全额赔偿用户
Holdstation承诺赔偿受影响资产的100%。用户需填写官方表格:
https://forms.gle/9FriUzFWHx6ZPXCS7
团队将进行链上验证和钱包所有权确认后再进行赔付。项目强调在赔偿过程中不要求提供助记词、私钥或任何费用。
行业的安全教训
此次事件显示,即使智能合约安全,软件分发基础设施的漏洞仍可能造成巨大损失。这是一种供应链攻击——黑客入侵产品的“入口”而非直接攻击用户。
Holdstation表示正在升级整个发布流程,包括:
此事件引起越南加密社区的广泛关注,Holdstation是胡志明市一家知名的DeFi钱包项目。
项目承诺将持续更新调查进展。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
Gauntlet 更新 Resolv 漏洞处理进展:USDC Frontier 已解除风险,将逐步重启金库
Gauntlet 在 X 平台更新了 Resolv 漏洞处理进展,Base 网络的 USDC Frontier (v1) 已解除分配,坏账风险消除。v1 和 v2 金库重新开放存款,Morpho 明日将移除警告。主网 USDC Frontier (v2) 金库重启中,将根据后续修复提供更多信息。
GateNews1小时前
Lista DAO 更新 USR 事件进展:已偿还 840 万美元贷款,风险近乎全额化解
Lista DAO 在 X 平台发布更新,涉及的 860 万美元贷款已偿还 840 万美元,所有仓位按 1:1 赎回,用户未损失。仅剩 2.6 万美元未偿还头寸,请相关用户尽快联系完成还款。
GateNews1小时前
新加坡破获加密资产盗窃案,涉案金额883万新元
3月29日,新加坡破获一起员工内讧盗取加密资产案,涉案金额883万新元。三名被告因不满被辞退,非法入侵前雇主SafeX账户,盗取加密货币并洗钱。张兴华已认罪获刑两年,其余两人中一人逃逸。
GateNews2小时前
美加密公司 Goliath Ventures 申请破产重组,涉嫌 3.28 亿美元庞氏骗局
佛罗里达州加密公司Goliath Ventures申请第11章破产重组,涉嫌3.28亿美元庞氏骗局,逾2000名投资者受害。前CEO因电信欺诈及洗钱被捕,资金被挪用于支付早期投资者回报和奢侈消费。
GateNews17小时前
LiteLLM 駭客投毒事件:50 萬憑證外洩、加密錢包恐被盜,如何檢查是否中招?
LiteLLM遭供應鏈攻擊,數百GB資料及50萬個憑證外洩,影響超過2萬個程式碼儲存庫。駭客利用Trivy的漏洞,成功植入惡意程式碼並竊取敏感資訊。需加強供應鏈安全與權限控管,以防範類似攻擊。
区块客22小时前
Circle 再次解冻两个热钱包,累计已解冻 5 个钱包
Gate News 消息,3 月 28 日,链上侦探 ZachXBT 发推称,Circle 于几小时前解冻了 ckUSDC(Dfinity 桥)和未知服务 0x00e 开头地址的另外两个热钱包。截至目前,在其此前提到的 16 个热钱包中已有 5 个被解冻。ZachXBT 表示,一旦纽约民事案件解封,其将公开点名该案的原告、专家及所有其他相关方。
GateNews03-28 05:41
