26/02/2026 – La plataforma de billetera inteligente DeFAI Holdstation, con sede en Vietnam (construida sobre Worldcoin y BNB Chain), confirmó haber sido víctima de un grave ataque de cadena de suministro en la madrugada del 25/02/2026. La pérdida total registrada fue de 462.000 USDT.
Este es el segundo incidente de seguridad del proyecto en 2026, tras una pérdida de aproximadamente 100.000 USD en enero.
Ataque de cadena de suministro: no a los contratos inteligentes, sino a la infraestructura de distribución
Según el anuncio oficial, los hackers no accedieron directamente a las billeteras de los usuarios ni a los contratos inteligentes. Holdstation y la firma de auditoría Verichains aseguran que los contratos inteligentes permanecen seguros.
En cambio, los atacantes apuntaron a la infraestructura de distribución de la aplicación, donde se entregan las actualizaciones a los usuarios.
Específicamente, los hackers:
Tras tomar control de la infraestructura, el atacante modificó el archivo JavaScript en la versión oficial de la aplicación, insertando código malicioso en forma de puerta trasera. Los usuarios que actualizaron la aplicación instalaron involuntariamente una versión infectada con malware.
Mecanismo de retiro “silencioso”
El malware fue diseñado para activarse inmediatamente después de la instalación:
Como resultado, muchas billeteras fueron vaciadas en los primeros minutos tras la publicación de la actualización infectada.
Respuesta de emergencia de Holdstation en 30 minutos
Según la cronología publicada (UTC+7):
Luego, Holdstation colaboró con Verichains para analizar los datos en cadena y recopilar evidencia para la investigación.
La pérdida total confirmada actualmente es de 462.000 USDT.
Compromiso de reembolso del 100% a los usuarios
Holdstation se compromete a reembolsar el 100% del valor de los activos afectados. Los usuarios deben completar el formulario oficial en:
https://forms.gle/9FriUzFWHx6ZPXCS7
El equipo verificará en cadena y confirmará la propiedad de las billeteras antes de realizar el reembolso. El proyecto enfatiza que no se requiere la frase semilla, clave privada ni ningún cargo durante el proceso de compensación.
Lecciones de seguridad para la industria
El incidente demuestra que, incluso si los contratos inteligentes son seguros, las vulnerabilidades en la infraestructura de distribución de software aún pueden causar pérdidas significativas. Este tipo de ataque es una cadena de suministro, donde los hackers ingresan en la “entrada” del producto en lugar de atacar directamente a los usuarios.
Holdstation informó que está mejorando todo el proceso de lanzamiento, incluyendo:
El incidente ha generado gran interés en la comunidad cripto de Vietnam, ya que Holdstation es uno de los proyectos de billeteras DeFi con sede en Ciudad Ho Chi Minh.
El proyecto se compromete a seguir actualizando sobre el progreso de la investigación en los próximos días.
Vương Tiễn
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
El Banco Central de Filipinas advierte contra el comercio con VASPs no autorizados el 9 de mayo
Según BusinessWorld, el banco central de Filipinas advirtió al público el 9 de mayo que no opere con proveedores de servicios de activos virtuales (VASPs) no autorizados, citando riesgos de fraude, brechas de seguridad y fallas operativas que podrían causar la pérdida de fondos. El banco central identificó riesgos adicionales, como la falta de recurso legal, la ausencia de mecanismos de protección al consumidor, mala calidad del servicio, publicidad engañosa, manejo inadecuado de claves privadas
GateNewshace1h
Lazarus oculta cargadores de malware en los Git hooks durante ataques dirigidos a desarrolladores el 9 de mayo
Según la investigación de OpenSourceMalware, el grupo de piratería norcoreano Lazarus ocultó cargadores de segunda fase en scripts de Git Hooks pre-commit durante ataques dirigidos a desarrolladores el 9 de mayo. El grupo utilizó esta técnica en campañas, incluida 'Infectious Interview', donde se hacía pasar por reclutadores de criptomonedas y DeFi para engañar a los desarrolladores y que clonaran repositorios de código malicioso, con el objetivo final de robar criptoactivos y credenciales.
GateNewshace1h
Los estafadores se hacen pasar por autoridades iraníes y exigen criptomonedas por el paso por el estrecho de Ormuz el 21 de abril
Según MARISKS, una empresa griega de gestión de riesgos marítimos, individuos no identificados que se hacían pasar por autoridades iraníes enviaron mensajes a las compañías navieras el 21 de abril exigiendo pagos en criptomonedas para un paso seguro por el Estrecho de Ormuz. La empresa confirmó que estos mensajes son fraudulentos y no proceden de las autoridades iraníes. Al menos un buque que intentó salir del estrecho recibió disparos tras caer en la estafa. Cientos de buques y aproximadamente
GateNewshace1h
Ex teniente naval de Singapur roba 1,7 millones de USDT y es condenado a 6 años y 10 meses de prisión
De acuerdo con Lianhe Zaobao, el 9 de mayo, la jueza del tribunal nacional de Singapur, Wang Qinru, dictó sentencia el 8 de mayo para el acusado Zhang Rongxuan (35 años, según la transcripción), condenándolo a seis años y 10 meses de prisión. Zhang Rongxuan, ex teniente de la unidad de buceo de élite de la Marina (Naval Diving Unit), fue declarado culpable de, mientras su amigo salía, ingresar al apartamento, grabar una frase semilla para una billetera fría y, posteriormente, robar los 1,7 millo
MarketWhisperhace2h
Ex oficial de la Marina de Singapur condenado a 6 años y 10 meses por robar 1,7M USDT tras el colapso de FTX
De acuerdo con The Straits Times, un exoficial naval de Singapur, Zhang Rongxuan (35), fue condenado a 6 años y 10 meses de prisión por robar 1,7 millones de USDT (aproximadamente SGD 2,3 millones) de una cartera fría de un amigo. Zhang, capitán en la Unidad de Buceo Naval, admitió que las pérdidas financieras tras el colapso de FTX impulsaron el robo. Gastó el dinero robado en relojes de lujo, apuestas y el pago de una hipoteca.
GateNewshace2h
Exoficial de la Marina de Singapur sentenciado a 6 años y 10 meses por robar 1,7M USDT después del colapso de FTX
Según ChainCatcher, Zhang Rongxuan, un ex capitán de la Marina de Singapur de 35 años, fue condenado a seis años y diez meses de prisión por robar 1,7 millones de USDT (aproximadamente 2,3 millones de dólares singapurenses) desde una cold wallet de un amigo. El acusado, que ostentaba el rango de capitán en la Unidad de Buceo Naval, confesó el robo después de que firmas de seguridad rastrearan la cartera de criptomonedas, afirmando que cometió el crimen tras sufrir pérdidas sustanciales derivadas
GateNewshace2h
