26.02.2026 – Das DeFAI Holdstation Wallet-Projekt mit Sitz in Vietnam (aufgebaut auf Worldcoin und BNB Chain) bestätigt, Opfer eines schwerwiegenden Lieferkettenangriffs in den frühen Morgenstunden des 25.02.2026 geworden zu sein. Der Gesamtschaden wird auf 462.000 USDT geschätzt.
Dies ist der zweite Sicherheitsvorfall des Projekts im Jahr 2026, nach einem Verlust von etwa 100.000 USD im Januar.
Lieferkettenangriff: Nicht auf Smart Contracts, sondern auf die Verteilinfrastruktur abgezielt
Laut offizieller Mitteilung haben die Hacker nicht direkt auf die Wallets der Nutzer oder Smart Contracts zugegriffen. Holdstation und die Prüfstelle Verichains bestätigen, dass die Smart Contracts weiterhin sicher sind.
Stattdessen haben die Angreifer die Verteilinfrastruktur der Anwendung ins Visier genommen – den Ort, an dem Updates für die Nutzer bereitgestellt werden.
Konkret haben die Hacker:
Nachdem sie die Infrastruktur kontrollierten, haben sie die JavaScript-Dateien in der offiziellen Version der Anwendung manipuliert und Schadcode in Form eines Backdoors eingefügt. Nutzer, die die Anwendung aktualisierten, installierten unwissentlich eine infizierte Version.
„Silent“ Abhebungsmechanismus
Der Schadcode wurde so programmiert, dass er sofort nach der Installation aktiv wird:
Das führte dazu, dass viele Wallets innerhalb weniger Minuten nach der Veröffentlichung der infizierten Version geleert wurden.
Notfallreaktion von Holdstation innerhalb von 30 Minuten
Laut veröffentlichtem Zeitplan (UTC+7):
Anschließend arbeitete Holdstation mit Verichains zusammen, um On-Chain-Daten zu analysieren und Beweise für die Untersuchung zu sammeln.
Der bisher bestätigte Gesamtschaden beläuft sich auf 462.000 USDT.
100% Rückerstattung für Nutzer versprochen
Holdstation verpflichtet sich, 100% des Schadenswerts zu erstatten. Nutzer müssen das offizielle Formular ausfüllen unter:
https://forms.gle/9FriUzFWHx6ZPXCS7
Das Team wird eine On-Chain-Überprüfung und Eigentumsbestätigung der Wallets durchführen, bevor die Rückerstattung erfolgt. Das Projekt betont, dass keine Seed-Phrase, Private Key oder Gebühren für die Rückerstattung erforderlich sind.
Sicherheitslektionen für die Branche
Der Vorfall zeigt, dass selbst bei sicheren Smart Contracts Schwachstellen in der Verteilinfrastruktur zu erheblichen Verlusten führen können. Es handelt sich um einen Lieferkettenangriff – bei dem Hacker in die „Eingänge“ des Produkts eindringen, anstatt direkt die Nutzer anzugreifen.
Holdstation kündigt an, den gesamten Veröffentlichungsprozess zu verbessern, einschließlich:
Der Vorfall zieht großes Interesse in der vietnamesischen Krypto-Community auf sich, da Holdstation eines der DeFi-Wallet-Projekte mit Sitz in Ho-Chi-Minh-Stadt ist.
Das Projekt verspricht, die Ermittlungsfortschritte in den kommenden Tagen weiter zu aktualisieren.
Vương Tiễn
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Verwandte Artikel
Fantasy.top Gründer bestreitet "Soft Rug Pull"-Vorwürfe und behauptet, keine Investorenmittel verwendet zu haben
Fantasy.top sieht sich Anschuldigungen von Angel-Investoren gegenüber, die behaupten, das Team sei nicht erreichbar und weigere sich, 50.000 US-Dollar zurückzuzahlen, was zu Vorwürfen eines "Soft Rug Pull" führt. Gründer Travis Bickle entgegnet, dass das Unternehmen auf Produkteinnahmen basiert und keine Investorenmittel verwendet wurden. Mehrere bekannte Investoren berichten ebenfalls von ähnlichen Vorfällen.
GateNews14M her
Indische Polizei verhaftet Verdächtige des GainBitcoin-Ponzi-Schemas am Flughafen Mumbai
Gate News Nachrichten, 11. März, kündigte die indische Zentraluntersuchungsbehörde (CBI) an, dass Darwin Labs Mitbegründer und Chief Technology Officer Ayush Varshney am Mumbai-Flughafen festgenommen wurde, weil er angeblich an dem GainBitcoin-Ponzi-Schema beteiligt war. Angeblich versuchte Varshney, Indien zu verlassen. Die Ermittlungen ergaben, dass das Schema von Variabletech Pte. Ltd. betrieben wurde und Investoren durch die Versprechung hoher Renditen auf Kryptowährungsinvestitionen anzog. Die Strafverfolgungsbehörden beschuldigen Darwin Labs, die Schlüsseltechnologie-Infrastruktur für das Schema entwickelt und bereitgestellt zu haben, einschließlich des MCAP-Kryptowährungstokens und ERC-20-Smart-Contracts. Außerdem hat Darwin auch für die GBMiners.com Bitcoin-Mining-Plattform, BitCoin Payment Gat
GateNews56M her
Ledger Sicherheitsteam entdeckt MediaTek-Prozessorschwachstellen, die zu Wallet-Mnemonics-Diebstahl führen könnten
Das Team hinter der Kryptowallet Ledger hat eine Sicherheitslücke in der Secure Boot Chain der MediaTek-Prozessoren entdeckt. Angreifer können bei physischem Kontakt Verschlüsselungsschlüssel extrahieren, was etwa 25 % der Android-Smartphones betrifft. Die Schwachstelle kann durch einen Patch behoben werden, doch wird die Gefahr betont, die mit der Speicherung von Schlüsseln auf unsicheren Geräten verbunden ist. Nutzer werden empfohlen, ihre Geräte zeitnah zu aktualisieren.
GateNews11Std her
AI-Codierung ist schiefgelaufen: Nicht mehr die KI vergöttern, Claude-Codierung verursacht Verluste von 1,78 Millionen US-Dollar auf DeFi-Plattform
Moonwell Lending-Protokoll aufgrund eines Fehlers bei der Orakelkonfiguration führte zu einer erheblichen Unterbewertung des cbETH-Assets und verursachte eine On-Chain-Sicherheitsverletzung. Dieses Ereignis resultierte aus einem Fehler in der von KI generierten Code-Logik, wobei Liquidationsroboter den Fehler ausnutzten, um Gewinne zu erzielen. Obwohl keine herkömmlichen Hacker eingriffen, wurden den Nutzern 1,78 Millionen US-Dollar Schaden zugefügt. Das Ereignis deckt Nachlässigkeiten bei der Überprüfung im KI-Programmierprozess auf und unterstreicht die Bedeutung menschlicher Überprüfung im Kontext technischer Automatisierung.
PANews11Std her
Das Ministerium für Industrie und Informationstechnologie veröffentlicht Empfehlungen zur Sicherheitsrisikovermeidung für OpenClaw-Agenten und schlägt vier Strategien zur Bewältigung im Szenario von Finanztransaktionen vor.
Am 11. März veröffentlichte das Ministerium für Industrie und Informationstechnologie Empfehlungen zur Verhinderung der Sicherheitsrisiken von OpenClaw Open-Source-Intelligenzen, wobei die potenziellen Risiken im Finanzhandel hervorgehoben werden. Es wurde eine „Sechs-was- und Sechs-nicht“-Strategie vorgeschlagen, wie z.B. Netzwerkisolierung, zweite Bestätigung und Verstärkung der Lieferkettenüberprüfung, um Fehltransaktionen und Kontenübernahmen zu verhindern.
GateNews12Std her
Aave meldet eine ungewöhnliche Liquidation in Höhe von 27 Millionen US-Dollar, 34 Konten wurden zwangsliquidiert, die offizielle Stelle verspricht eine vollständige Entschädigung
Aave erlebte am 11. März eine ungewöhnliche Liquidation, bei der etwa 27 Millionen US-Dollar an Kreditpositionen aufgrund eines Konfigurationsfehlers im internen Sicherheitssystem CAPO um 2,85 % im Wert unterschätzt wurden. Die Liquidation betraf 34 Konten, bei denen etwa 10.938 wstETH zwangsweise geschlossen wurden. Chaos Labs hat versprochen, die betroffenen Nutzer vollständig zu entschädigen, und betont die Notwendigkeit, das Risikomanagement zu verbessern. Dieser Vorfall hebt die Risiken hervor, die durch Konfigurationsfehler innerhalb dezentraler Finanzsysteme entstehen.
動區BlockTempo13Std her
