Ví Holdstation був зламаний на 462.000 USDT: Ось як хакери обійшли MFA та вивели гроші за 2 хвилини

26/02/2026 – Проект смарт-гаманця DeFAI Holdstation, зареєстрований у В’єтнамі (побудований на Worldcoin та BNB Chain), підтвердив, що став жертвою серйозної атаки на ланцюг постачання рано вранці 25/02/2026. Загальні збитки склали 462 000 USDT.

Це друга інцидент безпеки у проекті у 2026 році, після втрати близько 100 000 USD у січні.

Атака на ланцюг постачання: не націлена на смарт-контракт, а на інфраструктуру розповсюдження

За офіційною заявою, хакер не проник безпосередньо у гаманці користувачів або смарт-контракти. Holdstation та аудитова компанія Verichains запевнили, що смарт-контракти залишилися безпечними.

Замість цього, зловмисник атакував інфраструктуру розповсюдження додатку – місце, яке надає оновлення користувачам.

Конкретно, хакер зробив наступне:

Після контролю над інфраструктурою, зловмисник відредагував файл JavaScript у офіційній версії додатку, вставивши шкідливий код у вигляді бекдору. Користувачі, оновлюючи додаток, випадково встановлювали заражену версію.

Механізм «тихого» зняття коштів

Шкідливий код був розроблений так, щоб активуватися одразу після встановлення:

Внаслідок цього багато гаманців були обкрадені всього за кілька хвилин після випуску зараженого оновлення.

Екстрена реакція Holdstation протягом 30 хвилин

За оприлюдненим хронологічним порядком (UTC+7):

Після цього Holdstation співпрацював з Verichains для аналізу даних у ланцюгу та збору доказів для розслідування.

Загальні збитки наразі підтверджені у розмірі 462 000 USDT.

Гарантія 100% відшкодування користувачам

Holdstation обіцяє компенсувати 100% вартості втрачених активів. Користувачі повинні заповнити офіційну форму за посиланням:

https://forms.gle/9FriUzFWHx6ZPXCS7

Команда проведе он-чейн верифікацію та підтвердить право власності на гаманці перед поверненням коштів. Проект наголошує, що під час компенсації не потрібно надавати seed phrase, приватний ключ або будь-які збори.

Уроки безпеки для галузі

Інцидент показує, що навіть якщо смарт-контракти безпечні, вразливості на рівні інфраструктури розповсюдження програмного забезпечення можуть спричинити значні втрати. Це тип атаки на ланцюг постачання – коли хакер проникає у «вхідні точки» продукту, а не безпосередньо у користувачів.

Holdstation повідомляє, що оновлює весь процес випуску, зокрема:

Ця подія привертає значну увагу криптоспільноти В’єтнаму, оскільки Holdstation є одним із проектів DeFi-гаманців із штаб-квартирою у Хошиміні.

Проект обіцяє продовжувати оновлювати інформацію про хід розслідування найближчим часом.