CrediX Terkena Peretasan $4,5 Juta, Penyerang Menjembatani Dana ke Ethereum
Proyek DeFi CrediX dilaporkan telah diretas, dengan kerugian diperkirakan mencapai $4,5 juta. Insiden tersebut tampaknya merupakan hasil dari kompromi kunci pribadi, yang memungkinkan penyerang mendapatkan akses tidak sah ke sistem.
Credix tampaknya mengalami pelanggaran keamanan. Kami sedang menyelidiki dan akan segera membagikan detailnya
— CrediX (@CrediX_fi) 4 Agustus 2025
CrediX Terkena Eksploitasi Lintas Jaringan
Sebagai langkah keamanan, CrediX telah membuat situs webnya offline untuk memblokir setoran pengguna baru. Perusahaan keamanan CertiK melaporkan bahwa dana yang dicuri dipindahkan dari jaringan Sonic ke Ethereum. Sejauh ini, dompet penyerang masih menampung aset yang dicuri, dan belum ada pergerakan lebih lanjut.
Cyvers Alerts, sebuah perusahaan keamanan Web3, juga menandai beberapa transaksi mencurigakan di jaringan Sonic yang melibatkan CrediX. Menurut mereka, alamat yang didanai melalui Tornado Cash di Ethereum menjembatani dana ke Sonic, kemudian meminjam sekitar $2,64 juta dari CrediX.
🚨PERINGATAN🚨Sistem kami telah mendeteksi beberapa transaksi mencurigakan di jaringan #Sonic yang melibatkan @CrediX_fi.
— 🚨 Peringatan 🚨 Cyvers (@CyversAlerts) 4 Agustus 2025
Alamat yang didanai oleh @TornadoCash di jaringan #ETH menjembatani dana ke jaringan #Sonic dan meminjam sekitar 2,64 juta dari @CrediX_fi.
Sebagian besar dana ini memiliki... pic.twitter.com/vK2y21Vhu9
Kelemahan Akses Memungkinkan Penyerang Menguras Kumpulan CrediX
Perusahaan keamanan on-chain SlowMist mencatat bahwa enam hari sebelum eksploitasi terdeteksi, penyerang ditambahkan sebagai Admin dan Bridge ke CrediX Multisig Wallet menggunakan ACLManager. Dengan hak istimewa tingkat Bridge, penyerang mendapatkan akses langsung ke token jaminan pencetak melalui CrediX Pool.
Dengan menggunakan token yang baru dicetak, mereka dapat meminjam sejumlah besar aset dari protokol, yang pada akhirnya menguras kumpulan. Ini menunjukkan betapa berisikonya ketika akses dan peran tidak dikelola dengan benar dalam pengaturan multisig, dan menyoroti betapa pentingnya keamanan tata kelola dalam sistem DeFi.
Semua dana pengguna akan dipulihkan secara penuh dalam waktu 24-48 jam
— CrediX (@CrediX_fi) 4 Agustus 2025
CrediX telah meyakinkan pengguna bahwa semua dana akan pulih sepenuhnya dalam waktu 24-48 jam.
Menurut laporan dari Hacken, kerugian kripto mencapai $3,1 miliar pada paruh pertama tahun 2025, dan sebagian besar berasal dari kegagalan dompet multisig. Dompet ini sering dieksploitasi melalui antarmuka palsu dan manajemen penanda tangan yang buruk.
Serangan yang paling merusak adalah peretasan Bybit senilai $1,46 miliar, di mana penanda tangan ditipu oleh UI palsu.
Hacken Mendesak Keamanan Multisig Real-Time
Lebih dari 80% dari semua kerugian kripto tahun ini disebabkan oleh kegagalan kontrol akses. Hacken sekarang merekomendasikan agar proyek menjauh dari audit satu kali dan mengadopsi sistem keamanan berbasis AI secara real-time. Alat-alat ini dapat melacak aktivitas dompet multisig, mendeteksi perilaku abnormal, dan memberikan waktu respons yang lebih cepat.
Hacken juga menyarankan agar tim memperlakukan penanda tangan dan antarmuka pengguna sebagai elemen kunci dari sistem keamanan, bukan hanya fitur teknis. Pelatihan yang ditingkatkan, otomatisasi yang lebih ketat, dan aturan yang lebih ketat diperlukan jika platform DeFi ingin menghindari serangan serupa di masa mendatang.
Pertanyaan Umum
Peretasan CrediX disebabkan oleh kompromi kunci pribadi, memungkinkan admin penyerang dan akses jembatan untuk menguras kolam.
Ya. CrediX telah meyakinkan pengguna bahwa semua dana yang dicuri akan dipulihkan dalam waktu 24-48 jam setelah eksploitasi.
Peretasan besar tahun 2025 termasuk $400 juta dari Coinbase, $220 juta dari Cetus, dan jutaan lainnya dari eksploitasi BSC, Phemex, dan UPCX.