CrediX 遭受 $4.5M 黑客攻击,攻击者将资金桥接到以太坊
据报道,DeFi 项目 CrediX 遭到黑客攻击,损失估计为 450 万美元。该事件似乎是私钥泄露的结果,这使得攻击者能够未经授权访问系统。
Credix 似乎存在安全漏洞。我们正在调查,并将很快分享细节
— CrediX (@CrediX_fi) 2025 年 8 月 4 日
CrediX 受到跨网络漏洞的攻击
作为安全措施,CrediX 已将其网站下线以阻止新用户存款。安全公司 CertiK 报告称,被盗资金已从 Sonic 网络转移到以太坊。到目前为止,攻击者的钱包中仍然持有被盗资产,没有进一步的动静。
Web3 安全公司 Cyvers Alerts 也标记了 Sonic 网络上涉及 CrediX 的多笔可疑交易。据他们称,通过以太坊上的 Tornado Cash 资助的一个地址将资金桥接到 Sonic,然后从 CrediX 借入了约 264 万美元。
🚨警报🚨我们的系统在 #Sonic 网络上检测到多起涉及@CrediX_fi的可疑交易。
— 🚨 赛弗斯警报 🚨 (@CyversAlerts) 2025 年 8 月 4 日
#ETH 网络上由 @TornadoCash 资助的地址将资金桥接到 #Sonic 网络,并从 @CrediX_fi 借入了约 2.64M。
这些基金中的大多数都......pic.twitter.com/vK2y21Vhu9
访问缺陷让攻击者耗尽 CrediX 池
链上安全公司慢雾指出,在检测到漏洞利用前六天,攻击者使用 ACLManager 被添加为 CrediX 多重签名钱包的管理员和桥接器。凭借 Bridge 级权限,攻击者可以通过 CrediX 池直接铸造抵押代币。
使用新铸造的代币,他们能够从协议中借入大量资产,最终耗尽了池子。这表明,当访问和角色在多重签名设置中没有得到适当的管理时,它的风险有多大,并强调了治理安全在 DeFi 系统中的重要性。
所有用户资金将在 24-48 小时内全额收回
— CrediX (@CrediX_fi) 2025 年 8 月 4 日
CrediX 已向用户保证,所有资金将在 24-48 小时内完全收回。
根据 Hacken 的一份报告,2025 年上半年加密货币损失达到 31 亿美元,其中大部分来自多重签名钱包故障。这些钱包经常通过虚假界面和糟糕的签名者管理被利用。
最具破坏性的攻击是 $1.46B Bybit 黑客攻击,签名者被欺骗性 UI 欺骗。
Hacken 敦促实时多重签名安全
今年超过 80% 的加密货币损失是由访问控制失败造成的。Hacken 现在建议项目放弃一次性审计,采用实时、人工智能驱动的安全系统。这些工具可以跟踪多重签名钱包活动,检测异常行为,并提供更快的响应时间。
Hacken 还建议团队将签名者和用户界面视为安全系统的关键要素,而不仅仅是技术功能。如果 DeFi 平台想要避免未来发生类似的攻击,就需要改进培训、更严格的自动化和更严格的规则。
常见问题
CrediX 黑客攻击是由私钥泄露引起的,允许攻击者管理员和桥接访问耗尽池。
是的。CrediX 已向用户保证,所有被盗资金将在漏洞利用后 24-48 小时内追回。
2025 年的主要黑客攻击包括来自 Coinbase 的 $400M、来自 Cetus 的 $220M,以及来自 BSC、Phemex 和 UPCX 漏洞的数百万美元。