2026年2月26日 – ベトナムに拠点を置くDeFAI Holdstationのスマートウォレットプロジェクト(WorldcoinとBNB Chain上に構築)は、2026年2月25日未明に深刻なサプライチェーン攻撃の被害を受けたことを確認しました。総被害額は462,000 USDTです。
これは2026年に入ってからの同プロジェクトの2回目のセキュリティインシデントで、1月の約10万ドルの流出に続くものです。
サプライチェーン攻撃:スマートコントラクトではなく配信インフラを狙う
公式発表によると、ハッカーはユーザーのウォレットやスマートコントラクトに直接侵入したわけではありません。Holdstationと監査会社のVerichainsは、スマートコントラクトは安全であると断言しています。
代わりに、攻撃者はアプリの配信インフラを狙いました。これは、ユーザーにアップデートを提供する部分です。
具体的には、ハッカーは以下の操作を行いました:
インフラを掌握した後、攻撃者は公式アプリのJavaScriptファイルを改ざんし、バックドアとしてマルウェアを埋め込みました。ユーザーがアプリを更新すると、意図せず感染したバージョンをインストールしてしまいます。
「静かに」資金引き出しの仕組み
マルウェアはインストール直後に動作するように設計されています。
その結果、感染したアップデートがリリースされてから数分以内に、多くのウォレットから資金が引き出されました。
Holdstationの緊急対応(30分以内)
公開されたタイムライン(UTC+7)によると:
その後、HoldstationはVerichainsと連携し、オンチェーンデータの分析と証拠収集を行い、調査を進めました。
現在までに確認された総被害額は462,000 USDTです。
ユーザーへの100%返金を約束
Holdstationは、影響を受けた資産の価値を100%補償することを約束しています。ユーザーは以下の公式フォームに記入してください:
https://forms.gle/9FriUzFWHx6ZPXCS7
チームはオンチェーンの検証とウォレット所有権の確認を行った後、返金を実施します。プロジェクトは、返金手続き中にシードフレーズやプライベートキー、手数料の請求を行わないことを強調しています。
セキュリティの教訓
この事件は、スマートコントラクトが安全であっても、ソフトウェア配信インフラの脆弱性が大きな損失を引き起こす可能性があることを示しています。これはサプライチェーン攻撃の一種であり、ハッカーは製品の「入口」に侵入し、直接ユーザーを攻撃するのではなく、配信経路を狙います。
Holdstationは、リリースプロセス全体のアップグレードを進めていると述べています。
この事件は、ホーチミン市に拠点を置くDeFiウォレットプロジェクトの一つとして、ベトナムの暗号通貨コミュニティから大きな関心を集めています。
今後も調査の進捗を随時更新していく予定です。
ヴォアン・ティエン
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は
免責事項をご参照ください。
関連記事
Scallop、sSUI報酬プールの脆弱性を発見、150K SUIの損失が発生するも全額の補償を約束
Gate Newsメッセージ、4月26日――Suiエコシステムにおける貸出プロトコルのScallopは、自社のsSUI報酬プールに関連する補助コントラクトで脆弱性が発見されたことを発表し、その結果、約150,000 SUIの損失が発生した。影響を受けたコントラクトは凍結されており、Scallopは、コアとなるコントラクトは引き続き安全であり、影響を受けているのはsSUI報酬プールのみであることを確認した
GateNews2時間前
ライトコイン、MWEBプライバシーレイヤーのゼロデイ脆弱性悪用後に深いチェーン再編を実施
ゲート・ニュース、4月26日 — ライトコインは土曜日に深いチェーンの再編(reorganization)を経験した。これは、攻撃者がMimbleWimble Extension Block (MWEB) のプライバシーレイヤーにおけるゼロデイ脆弱性を悪用したことによるもので、ライトコイン財団によれば (April 26) のことだった。再編はブロック 3,095,930 から 3,095,943 に及び、
GateNews3時間前
Litecoin 初めてプライバシー層が侵害:MWEB ゼロデイ脆弱性が発動、13 ブロックチェーンが再編
The Block によると、Litecoin 基金会は MWEB プライバシーレイヤーでゼロデイ脆弱性が悪用されたことを確認した。攻撃者は旧バージョンのノードを利用して、偽造された MWEB 取引が有効であるかのように見せかけ、メインチェーンを13ブロック(約3時間)ロールバックさせた。また、クロスチェーン取引所で二重支払いが行われた。NEAR Intents では約60万ドルが流出し、マイニングプールも DoS を受けた。修正済みバージョンはすでに公開されているため、すぐにアップグレードしてほしい。メインチェーンの残高は影響を受けないが、プライバシーレイヤーが可観測性の低下と検知の難しさの間で迫られるトレードオフが浮き彫りになっている。
ChainNewsAbmedia5時間前
Aave、Kelp、LayerZero Seek $71M Arbitrum DAOから凍結ETHのリリース
Aave Labs、Kelp DAO、LayerZero、EtherFi、およびCompoundは、土曜の朝、Arbitrumフォーラム上で憲法的AIP(AIP)を提出し、先週の$71 million Kelp DAOエクスプロイトに続くrsETH回復の取り組みを支援するため、ネットワークのDAOが約$292 millionの凍結ETHを放出することを求めた。提案は
CryptoFrontier6時間前
MWEB ゼロデイ攻撃の後、ライトコインが深刻なチェーン再編成を受け、3時間分の履歴が消失
Gate News メッセージ、4月26日 — ライトコインは、ライトコイン財団によると、土曜日に攻撃者が MimbleWimble Extension Block (MWEB) のプライバシー層にあるゼロデイ脆弱性を悪用したことで、深いチェーンの再編成 (reorg) を経験しました。バグにより、古いソフトウェアを実行しているマイニングノードは
GateNews12時間前
Apecoin Insider Turns $174K Into $2.45M in One Day With 14x Trade on Both Sides of 80% Surge
取引履歴のない匿名ウォレットが、たった1日のうちに価格が80%急騰した局面でApecoinを両建て(両側)でトレードし、イーサ(ETH)174,000ドル相当を245万ドルへ変えました。
重要なポイント:
ウォレット0x0b8aは、ETH174,000ドルをレバレッジをかけたApecoinのロングに変え、最高値近辺で利確して、179万ドルの利益を得ました
Coinpedia13時間前
