黑客并非通过代码漏洞或智能合约缺陷入侵CrediX,而是通过获取协议多签钱包系统的管理权限实施控制。这类攻击已成为2025年加密项目面临的最大威胁。
攻击过程还原
安全机构SlowMist报告显示,攻击者进行了周密策划。在盗取资金前六天,有人通过协议权限控制系统将攻击者添加为CrediX多签钱包的「管理员」和「桥接控制器」双重身份。
凭借这些特权,黑客可直接通过CrediX借贷池铸造虚假抵押代币,并用这些无价值代币从协议中借出真实加密货币,最终抽干资金池。
来源:@CrediX_fi
区块链安全公司PeckShield锁定涉案钱包「EC662e」,该钱包具备资金池管理员、桥接控制员、资产上架管理员、紧急事务管理员和风险管理员等多重高阶权限。
被盗资金已从Sonic网络快速转移至以太坊,分散在三个独立钱包中。安全公司CertiK确认攻击者尚未通过交易所变现。
项目背景与应对
CrediX上月刚作为现实世界资产借贷协议上线,这家比利时公司已融资7370万美元,专注连接新兴市场投资者与小型贷方。
该项目自称聚合器,可让用户一站式访问Compound、Aave等DeFi平台,并宣称通过其平台放贷可获得超10,000%年化收益——这种宣传与以往市场周期中暴雷的加密贷方如出一辙。
漏洞曝光后,CrediX关闭官网防止新存款流入。其社交媒体声明正在调查,并承诺24-48小时内追回全部被盗资金。
达成资金返还协议
最新进展显示,CrediX已与攻击者达成返还协议。入侵者同意在24-48小时内归还450万美元,换取项目金库支付。CrediX表示已确认所有受影响用户,将通过空投系统分发追回资产,并向Sonic社区及用户致歉。
来源:CrediX_fi
行业安全危机缩影
CrediX事件折射出2025年加密安全领域的严峻态势。据Hacken报告,仅今年第一季度黑客已盗取20亿美元,多数攻击通过社会工程学、伪造界面或签名权限管理不善针对多签钱包。最大单笔盗案为Bybit交易所损失的14.6亿美元,攻击者使用伪造界面欺骗授权签署人。
2025年加密领域超80%损失源于权限控制失效,传统智能合约漏洞导致的损失占比已不足2%。
多签钱包为何屡遭攻破
多签钱包本需多人审批交易,理论上比普通钱包更安全。但许多项目配置不当或赋予个体签署者过多权限。
CrediX案例中,同时授予新签署者管理员和桥接控制权,造就了单点故障。攻击者只需攻破一组凭证即可完全掌控协议资金。
安全专家指出,许多DeFi项目将全面安全视为长期优化项,而非处理用户巨额资金的前置条件。这种重融资上线、轻安全建设的做法使用户暴露于风险中。
Hacken建议加密项目摒弃一次性安全审计,转而采用AI驱动的实时监控系统,即时标记多签钱包异常活动。
未来启示录
CrediX事件表明治理与权限控制仍是DeFi安全最薄弱环节。在项目方追逐快速上线融资时,安全规范常被忽视。
多数DeFi协议早期保留中心化管理权限,为攻击者创造可乘之机。项目方需严格管控管理员准入,并对重大变更设置更强社区审批流程。
加密行业已多次陷入「重大攻击→安全承诺→类似事件重演」的循环。除非项目从诞生伊始就将安全置于首位,否则用户难免继续沦为CrediX式可预防攻击的受害者。