CrediX bị tấn công 4,5 triệu đô la, kẻ tấn công kết nối tiền với Ethereum
Dự án DeFi CrediX được cho là đã bị tấn công, với khoản lỗ ước tính khoảng 4,5 triệu đô la. Sự cố dường như là kết quả của một vụ xâm phạm khóa riêng tư, cho phép kẻ tấn công truy cập trái phép vào hệ thống.
Credix dường như đã vi phạm an ninh. Chúng tôi đang điều tra và sẽ sớm chia sẻ chi tiết
— CrediX (@CrediX_fi) Tháng Tám 4, 2025
CrediX bị tấn công bởi khai thác đa mạng
Như một bước an toàn, CrediX đã đưa trang web của mình ngoại tuyến để chặn tiền gửi của người dùng mới. Công ty bảo mật CertiK báo cáo rằng số tiền bị đánh cắp đã được chuyển từ mạng Sonic sang Ethereum. Cho đến nay, ví của kẻ tấn công vẫn giữ tài sản bị đánh cắp và không có động thái nào khác.
Cyvers Alerts, một công ty bảo mật Web3, cũng gắn cờ nhiều giao dịch đáng ngờ trên mạng Sonic liên quan đến CrediX. Theo họ, một địa chỉ được tài trợ thông qua Tornado Cash trên Ethereum đã bắc cầu tiền với Sonic, sau đó vay khoảng 2,64 triệu đô la từ CrediX.
🚨CẢNH BÁO🚨Hệ thống của chúng tôi đã phát hiện nhiều giao dịch đáng ngờ trên mạng #Sonic liên quan đến @CrediX_fi.
- 🚨 Cảnh báo 🚨 Cyvers (@CyversAlerts) Tháng Tám 4, 2025
Một địa chỉ được tài trợ bởi @TornadoCash trên mạng lưới #ETH đã kết nối tiền với mạng #Sonic và vay khoảng 2,64 triệu từ @CrediX_fi.
Hầu hết các quỹ này có... pic.twitter.com/vK2y21Vhu9
Lỗ hổng truy cập cho phép kẻ tấn công cạn kiệt CrediX Pool
Công ty bảo mật on-chain SlowMist lưu ý rằng sáu ngày trước khi khai thác được phát hiện, kẻ tấn công đã được thêm vào cả Quản trị viên và Cầu nối vào Ví Multisig CrediX bằng ACLManager. Với các đặc quyền cấp Bridge, kẻ tấn công có quyền truy cập trực tiếp vào các token thế chấp đúc thông qua CrediX Pool.
Sử dụng các token mới được đúc, họ có thể vay một lượng lớn tài sản từ giao thức, cuối cùng làm cạn kiệt nhóm. Điều này cho thấy rủi ro của nó có thể gặp phải như thế nào khi quyền truy cập và vai trò không được quản lý đúng cách trong thiết lập đa chữ ký, đồng thời làm nổi bật mức độ quan trọng của bảo mật quản trị trong các hệ thống DeFi.
Tất cả tiền của người dùng sẽ được thu hồi đầy đủ trong vòng 24-48 giờ
— CrediX (@CrediX_fi) Tháng Tám 4, 2025
CrediX đã đảm bảo với người dùng rằng tất cả các khoản tiền sẽ được thu hồi hoàn toàn trong vòng 24–48 giờ.
Theo một báo cáo từ Hacken, khoản lỗ tiền điện tử đạt 3,1 tỷ đô la trong nửa đầu năm 2025 và phần lớn đến từ lỗi ví đa chữ ký. Những ví này thường bị khai thác thông qua giao diện giả mạo và quản lý người ký kém.
Cuộc tấn công gây thiệt hại nhất là vụ hack Bybit trị giá 1,46 tỷ đô la, nơi những người ký tên bị lừa bởi một giao diện người dùng giả mạo.
Hacken kêu gọi bảo mật đa chữ ký thời gian thực
Hơn 80% tổng số tổn thất tiền điện tử trong năm nay là do lỗi kiểm soát truy cập. Hacken hiện khuyến nghị các dự án nên tránh kiểm tra một lần và áp dụng các hệ thống bảo mật theo thời gian thực, dựa trên AI. Các công cụ này có thể theo dõi hoạt động của ví đa chữ ký, phát hiện hành vi bất thường và cung cấp thời gian phản hồi nhanh hơn.
Hacken cũng khuyên rằng các nhóm nên coi người ký và giao diện người dùng là các yếu tố quan trọng của hệ thống bảo mật, không chỉ các tính năng kỹ thuật. Đào tạo được cải thiện, tự động hóa nghiêm ngặt hơn và các quy tắc chặt chẽ hơn là cần thiết nếu các nền tảng DeFi muốn tránh các cuộc tấn công tương tự trong tương lai.
Câu Hỏi Thường Gặp
Vụ hack CrediX được gây ra bởi một vụ xâm phạm khóa riêng tư, cho phép kẻ tấn công quản trị viên và quyền truy cập cầu nối để rút cạn nhóm.
Có. CrediX đã đảm bảo với người dùng rằng tất cả các khoản tiền bị đánh cắp sẽ được thu hồi trong vòng 24–48 giờ sau khi khai thác.
Các vụ hack lớn vào năm 2025 bao gồm 400 triệu đô la từ Coinbase, 220 triệu đô la từ Cetus và hàng triệu vụ khác từ khai thác BSC, Phemex và UPCX.