- 攻击者在攻击前六天获得了管理员访问权限。
- 铸造假抵押代币后借入 264 万美元。
- Hacken 敦促实时人工智能监控 DeFi 钱包安全。
去中心化金融领域再次被一个重大漏洞所震撼——这次 是针对 CrediX 。
据报道,该项目在私钥泄露和治理访问缺陷引发的攻击后损失了 450 万美元。
攻击者跨网络桥接资金,利用管理访问权限,并使用铸造的抵押代币耗尽 CrediX 池。
这一事件加剧了人们对多重签名钱包安全性的日益担忧,多重签名钱包占 2025 年迄今为止 31 亿美元加密货币损失的大部分。
资金从 Sonic 桥接到以太坊,平台下线
此后,CrediX 将其网站下线,以防止进一步存款。
区块链安全公司 CertiK 证实,被盗资金已从 Sonic 网络转移到以太坊。
Web3 安全平台 Cyvers Alerts 标记了 Sonic 上的多笔可疑交易,追踪了一个通过以太坊上的 Tornado Cash 资助的地址。
该地址将资金桥接到 Sonic,并从 CrediX 借入了约 264 万美元。
这些资金很可能是使用攻击者在获得后门访问权限后铸造的抵押代币提取的。
启用管理员访问权限和桥接权限的代币铸造漏洞
据链上安全提供商 慢雾称 ,攻击者在漏洞发生前六天在 CrediX 多重签名钱包中被授予管理员和桥接角色。
这些角色是使用协议的 ACLManager 分配的。
通过桥级访问,攻击者能够 通过 CrediX 池铸 造抵押代币,然后用于借入资产并最终耗尽协议。
这种类型的漏洞突显了去中心化治理模型中的严重风险,特别是在基于角色的访问控制方面。
在分配权限方面监督不力,尤其是在多重签名环境中,使 DeFi 协议高度容易受到内部或外部的损害。
多重签名钱包与 2025 年大多数加密货币损失有关
CrediX 事件是今年更广泛趋势的一部分。
安全公司 Hacken 的 一份报告 指出,2025 年上半年损失了 31 亿美元的加密货币,其中大多数案件涉及多重签名钱包。
这些钱包经常通过社会工程策略、虚假界面或错误配置的签名者设置被破坏。
今年已知最大的攻击仍然是价值 14.6 亿美元的 Bybit 漏洞,攻击者使用欺骗界面欺骗多重签名者。
Hacken 说,实时威胁检测现在是当务之急
为了应对此类事件日益频繁,Hacken 建议放弃传统的一次性安全审计。
相反,该公司提倡基于人工智能的实时安全系统,以监控多重签名活动并立即标记异常行为。
根据 Hacken 的说法,今年超过 80% 的加密货币损失源于访问控制失败。
该公司敦促平台实施更严格的签名者培训,实施更严格的基于规则的自动化,并将接口和签名者视为系统安全不可或缺的一部分。
与此同时,CrediX 表示,其目标是在 24-48 小时内追回被盗资金,但目前尚未提供更多细节。
