2026年2月26日 – ベトナムに拠点を置くDeFAI Holdstationのスマートウォレットプロジェクト(WorldcoinとBNB Chain上に構築)は、2026年2月25日未明に深刻なサプライチェーン攻撃の被害を受けたことを確認しました。総被害額は462,000 USDTです。
これは2026年に入ってからの同プロジェクトの2回目のセキュリティインシデントで、1月の約10万ドルの流出に続くものです。
サプライチェーン攻撃:スマートコントラクトではなく配信インフラを狙う
公式発表によると、ハッカーはユーザーのウォレットやスマートコントラクトに直接侵入したわけではありません。Holdstationと監査会社のVerichainsは、スマートコントラクトは安全であると断言しています。
代わりに、攻撃者はアプリの配信インフラを狙いました。これは、ユーザーにアップデートを提供する部分です。
具体的には、ハッカーは以下の操作を行いました:
インフラを掌握した後、攻撃者は公式アプリのJavaScriptファイルを改ざんし、バックドアとしてマルウェアを埋め込みました。ユーザーがアプリを更新すると、意図せず感染したバージョンをインストールしてしまいます。
「静かに」資金引き出しの仕組み
マルウェアはインストール直後に動作するように設計されています。
その結果、感染したアップデートがリリースされてから数分以内に、多くのウォレットから資金が引き出されました。
Holdstationの緊急対応(30分以内)
公開されたタイムライン(UTC+7)によると:
その後、HoldstationはVerichainsと連携し、オンチェーンデータの分析と証拠収集を行い、調査を進めました。
現在までに確認された総被害額は462,000 USDTです。
ユーザーへの100%返金を約束
Holdstationは、影響を受けた資産の価値を100%補償することを約束しています。ユーザーは以下の公式フォームに記入してください:
https://forms.gle/9FriUzFWHx6ZPXCS7
チームはオンチェーンの検証とウォレット所有権の確認を行った後、返金を実施します。プロジェクトは、返金手続き中にシードフレーズやプライベートキー、手数料の請求を行わないことを強調しています。
セキュリティの教訓
この事件は、スマートコントラクトが安全であっても、ソフトウェア配信インフラの脆弱性が大きな損失を引き起こす可能性があることを示しています。これはサプライチェーン攻撃の一種であり、ハッカーは製品の「入口」に侵入し、直接ユーザーを攻撃するのではなく、配信経路を狙います。
Holdstationは、リリースプロセス全体のアップグレードを進めていると述べています。
この事件は、ホーチミン市に拠点を置くDeFiウォレットプロジェクトの一つとして、ベトナムの暗号通貨コミュニティから大きな関心を集めています。
今後も調査の進捗を随時更新していく予定です。
ヴォアン・ティエン
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は
免責事項をご参照ください。
関連記事
CertiK、次世代のスキルスキャンにもかかわらず、AIエージェントマーケットプレイスのセキュリティリスクを警告
CertiKは、AIエージェントマーケットプレイスにおける重大なセキュリティ脆弱性を明らかにし、現行の検出手法が不十分であることを強調しました。この研究は、未検出の悪意のあるコードによる潜在的な侵害を防ぐために、ランタイムセキュリティの強化とスキルの隔離を推進しています。
BlockChainReporter1時間前
国家安全部は「ロブスター」(OpenClaw)安全養殖ハンドブックを発表し、四つの主要なリスクとその対策を提案した
3月17日、国家安全保障部は「ロブスター」安全養殖マニュアルを発表し、養殖リスクとしてホストの乗っ取りやデータ窃盗などを挙げ、制御インターフェースや権限設定、認証情報の安全性、プラグインの出所の確認を行うことを推奨し、最小権限の原則を遵守し隔離措置を講じることを強調しました。
GateNews1時間前
イギリス人男性が$172M ビットコイン盗難を主張、資金が71個のウォレットに分散
高等裁判所の事件は、ハードウェアウォレットから$170 百万ドル以上のビットコインが盗まれたとされる事例を明らかにし、自己管理のリスクに対する懸念を高めています。Ping Fai Yuen氏によって主張されたこれらの資金は、彼の知らないうちに移送され、複数のウォレットに分散されていました。請求者の配偶者の関与が示唆されていますが、これらは未証明のままです。この事件は、特に保管と個人関係に関する暗号資産紛争における課題を浮き彫りにしています。
TodayqNews2時間前
イギリスの裁判所は、夫が妻がCCTVを通じて暗号資産を盗んだと主張するビットコイン窃盗事件を認めました
イギリスの裁判所は、男性が妻が彼のウォレットのリカバリーフレーズを録音して2,323 BTCを盗んだと主張する$172M ビットコインの窃盗事件の訴訟を進めることを認めました。この事件は、現行法の下で暗号資産に関する紛争を扱う際の課題を浮き彫りにしています。
TheNewsCrypto2時間前
夫が妻のビットコイン2,000枚以上の窃盗を告発!裁判官:原告の勝訴の可能性は非常に高い
イギリス高等法院は、ビットコインの盗難事件を審理している。原告は、2023年に秘密裏に2,323枚のビットコインを盗んだとされる別居中の妻を訴えている。本件で、原告は録音証拠により被告とその姉妹がビットコインの移転を計画していたことを証明した。裁判官は原告の勝訴の可能性が高いと判断し、資産の凍結を命じ、一部の訴訟請求を棄却し、早急な審理を勧告した。
区块客3時間前
韓国警察当局はプライバシーコインの押収指針を策定する予定であり、過去5年間の仮想資産の押収額は推定で545億韓元に達している
韓国警察庁は、新たな仮想資産差し押さえ管理指針を策定しており、初めてプライバシーコインの取り扱いを盛り込みました。新しい規範は、ソフトウェアウォレットの管理を明確にし、仮想資産の保管における脆弱性に対応し、執行効率を向上させます。警察は民間の信託機関を選定する計画であり、専門家はリスクを低減するために集中型の公共信託メカニズムの構築を提案しています。今回の改革は、最近のビットコイン盗難事件の影響も受けており、管理システムをデジタル資産時代へと移行させる動きの一環です。
区块客3時間前
