2026年2月26日——总部位于越南的DeFAI Holdstation智能钱包项目(基于Worldcoin和BNB链)确认在2026年2月25日凌晨遭遇严重的链上供应链攻击。总损失为462,000 USDT。
这是该项目在2026年发生的第二起安全事件,之前在一月曾损失约100,000美元。
供应链攻击:不攻击智能合约,而是攻击分发基础设施
根据官方公告,黑客并未直接入侵用户钱包或智能合约。Holdstation和审计机构Verichains确认智能合约仍然安全。
相反,攻击者瞄准了应用的分发基础设施——为用户提供更新的渠道。
具体来说,黑客已:
控制基础设施后,修改了正式版本应用中的JavaScript文件,在其中植入后门式的恶意代码。用户在更新应用时,无意中安装了被感染的版本。
“静默”提款机制
恶意代码设计为在安装后立即生效:
导致许多钱包在恶意更新发布后的前几分钟内被盗取资金。
Holdstation的紧急反应(30分钟内)
根据公布的时间线(UTC+7):
随后,Holdstation与Verichains合作,分析链上数据并收集证据以进行调查。
目前确认的总损失为462,000 USDT。
承诺全额赔偿用户
Holdstation承诺赔偿受影响资产的100%。用户需填写官方表格:
https://forms.gle/9FriUzFWHx6ZPXCS7
团队将进行链上验证和钱包所有权确认后再进行赔付。项目强调在赔偿过程中不要求提供助记词、私钥或任何费用。
行业的安全教训
此次事件显示,即使智能合约安全,软件分发基础设施的漏洞仍可能造成巨大损失。这是一种供应链攻击——黑客入侵产品的“入口”而非直接攻击用户。
Holdstation表示正在升级整个发布流程,包括:
此事件引起越南加密社区的广泛关注,Holdstation是胡志明市一家知名的DeFi钱包项目。
项目承诺将持续更新调查进展。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
以下是量子计算机在9分钟内“破解”比特币到底意味着什么
谷歌的Quantum AI团队本周早些时候表示,未来的量子计算机可能在大约9分钟内从公钥推导出bitcoin private key。这个数字在社交媒体上迅速“弹射”传播,并让市场感到不安。
但在实际中,这到底意味着什么?
先从比特币的工作方式开始
CoinDesk1小时前
Drift遭黑客攻击初步调查:团队成员曾在会议上被朝鲜中间人接触
Gate News 消息,根据X平台消息,针对Drift黑客攻击事件的初步调查显示,该项目团队成员此前在加密货币行业会议上曾被朝鲜中间人当面接触。此次调查揭示了攻击方与团队成员之间存在线下接触的情况。
GateNews1小时前
CertiK:3 月记录 46 起安全事件,总损失约 3980 万美元
CertiK 报告称,2026 年 3 月记录了 46 起安全事件,总损失约 3980 万美元,是自 2024 年 11 月以来的最高月度数量。安全事件在 2025 年第四季度和2026年第一季度有所增加,代码漏洞利用情况与人工智能兴起相关。
GateNews12小时前
ZachXBT:Circle 合规执行不力,多起安全事件涉及金额超 4.2 亿美元
链上侦探ZachXBT发布报告指出,Circle自2022年以来在多起非法资金事件中合规执行不力,涉及金额超4.2亿美元。报告提及多起安全事件中,Circle未及时冻结可疑账户,导致严重损失。尽管具备相关机制,Circle在面对攻击和资金洗钱调查时反应滞后,影响行业安全。
GateNews14小时前
9分钟内由量子计算机“破解”比特币到底是什么意思
Google 的量子人工智能团队本周早些时候表示,未来的量子计算机或许可以在大约九分钟内从公钥推导出一枚比特币的私钥。这个消息在社交媒体上迅速引发连锁传播,并吓坏了市场。
但这在实际中到底意味着什么?
让我们从比特币的原理开始
CoinDesk04-04 02:42
日本金融庁发布加密资产交换业网络安全强化方针
日本金融厅发布了《加密资产交换业等网络安全强化取组方针》,旨在加强投资者资产保护,提出三层安全框架,回应网络攻击的新形势。后续计划对主要业者实施渗透测试,并修订指导方针以提升安全标准。
GateNews04-04 01:32
