Ví Holdstation bị hack 462.000 USDT: Đây là cách hacker qua mặt MFA, rút tiền trong 2 phút

Ngày 26/02/2026 – Dự án ví thông minh DeFAI Holdstation có trụ sở tại Việt Nam (xây dựng trên Worldcoin và BNB Chain) xác nhận đã trở thành nạn nhân của một vụ tấn công chuỗi cung ứng nghiêm trọng vào rạng sáng 25/02/2026. Tổng thiệt hại được ghi nhận là 462.000 USDT.

Đây là sự cố bảo mật thứ hai của dự án trong năm 2026, sau vụ thất thoát khoảng 100.000 USD hồi tháng 1.

Tấn công chuỗi cung ứng: Không đánh vào smart contract mà vào hạ tầng phân phối

Theo thông báo chính thức, hacker không xâm nhập trực tiếp vào ví người dùng hay hợp đồng thông minh. Phía Holdstation và đơn vị kiểm toán Verichains khẳng định các smart contract vẫn an toàn.

Thay vào đó, kẻ tấn công nhắm vào hạ tầng phân phối ứng dụng – nơi cung cấp các bản cập nhật cho người dùng.

Cụ thể, hacker đã:

• Giả mạo một extension lập trình phổ biến nhằm đánh lừa nhân sự nội bộ tải về.

• Đánh cắp session token đăng nhập, qua mặt cơ chế xác thực hai lớp (MFA).

• Chiếm quyền kiểm soát máy chủ phân phối ứng dụng, hệ thống CI/CD và kho lưu trữ cloud chứa các file JavaScript cốt lõi.

Sau khi kiểm soát hạ tầng, attacker chỉnh sửa file JavaScript trong phiên bản ứng dụng chính thức, chèn mã độc dưới dạng backdoor. Người dùng khi cập nhật ứng dụng đã vô tình cài đặt phiên bản bị nhiễm mã độc.

Cơ chế rút tiền “im lặng”

Mã độc được thiết kế để hoạt động ngay sau khi cài đặt:

• Tận dụng quyền hợp pháp của ứng dụng trên thiết bị.

• Tự động ký giao dịch chuyển USDT mà không hiển thị popup xác nhận.

• Chuyển tài sản đến địa chỉ ví 0xcb6a60b39cfaae475f649fb6705bd477219bf8d.

• Thực thi hoàn toàn trong nền, không để lại cảnh báo rõ ràng cho người dùng.

Hậu quả là nhiều ví bị rút tiền chỉ trong vài phút đầu tiên kể từ khi bản cập nhật độc hại được phát hành.

Phản ứng khẩn cấp trong vòng 30 phút của Holdstation

Theo dòng thời gian được công bố (UTC+7):

• 01:30: Tấn công bắt đầu.

• 01:32: Hệ thống giám sát phát hiện bất thường.

• 01:35: Tạm dừng toàn bộ dịch vụ.

• 01:45: Gỡ bỏ phiên bản nhiễm mã độc, khôi phục bản an toàn trước đó.

• 02:00 – 02:15: Phối hợp với các sàn giao dịch CEX và DEX nhằm phong tỏa ví hacker và hạn chế khả năng tẩu tán tài sản.

Sau đó, Holdstation phối hợp với Verichains để phân tích dữ liệu on-chain và thu thập bằng chứng phục vụ điều tra.

Tổng thiệt hại được xác nhận hiện tại là 462.000 USDT.

Cam kết hoàn trả 100% cho người dùng

Holdstation cam kết bồi thường 100% giá trị tài sản bị ảnh hưởng. Người dùng cần điền biểu mẫu chính thức tại:

https://forms.gle/9FriUzFWHx6ZPXCS7

Đội ngũ sẽ tiến hành xác minh on-chain và xác thực quyền sở hữu ví trước khi hoàn trả. Dự án nhấn mạnh không yêu cầu seed phrase, private key hay bất kỳ khoản phí nào trong quá trình bồi thường.

🚨 HOLDSTATION SECURITY INCIDENT UPDATE

In the early hours of Feb 25, 2026 (UTC +7), Holdstation identified a sophisticated supply chain attack targeting our application distribution infrastructure, resulting in unauthorized transactions affecting a number of user wallets.

🔍… pic.twitter.com/NBXzNJnQdS

— Holdstation – The DeFAI Smart Wallet (@HoldstationW) February 25, 2026

Bài học bảo mật cho ngành

Sự cố cho thấy ngay cả khi hợp đồng thông minh an toàn, lỗ hổng tại lớp hạ tầng phân phối phần mềm vẫn có thể gây tổn thất lớn. Đây là dạng tấn công chuỗi cung ứng – nơi hacker xâm nhập vào “đầu vào” của sản phẩm thay vì tấn công trực diện người dùng.

Holdstation cho biết đang nâng cấp toàn bộ quy trình phát hành, bao gồm:

• Tăng cường kiểm soát truy cập nội bộ.

• Áp dụng cơ chế ký đa chữ ký cho quy trình phát hành.

• Thực hiện kiểm toán độc lập trước mỗi bản cập nhật.

Vụ việc đang thu hút sự quan tâm lớn từ cộng đồng crypto Việt Nam, khi Holdstation là một trong những dự án ví DeFi có trụ sở tại TP.HCM.

Dự án cam kết tiếp tục cập nhật tiến độ điều tra trong thời gian tới.

• Thư tống tiền bằng Bitcoin gửi truyền thông giữa lúc điều tra vụ mất tích cụ bà 84 tuổi
• Thiệt hại do tấn công lừa đảo tiền điện tử tăng 200% khi hacker chuyển mục tiêu sang các ví có giá trị cao
• Dòng tiền crypto vào mạng lưới buôn người tăng 85% tại Đông Nam Á

Vương Tiễn