Хакер в маске и перчатках с ноутбуком
© freepik.com is licensed under public domain
Хакер похитил $4,5 млн с блокчейн-платформы CrediX через компрометацию админ-доступа
Что делать, если даже защищённые блокчейн-протоколы уязвимы? 4 августа DeFi-платформа CrediX, работающая на блокчейне Sonic, стала жертвой хакерской атаки, в результате которой злоумышленник похитил около $4,5 млн в криптовалюте. Команда проекта экстренно отключила веб-сайт, чтобы предотвратить дальнейшие потери.
Как произошёл взлом
По данным аналитиков PeckShield, атака стала возможной из-за компрометации учётной записи администратора. Этот аккаунт обладал критически важными правами:
- Управление пулами ликвидности (POOL_ADMIN)
- Контроль списка активов (ASSET_LISTING_ADMIN)
- Доступ к экстренным функциям (EMERGENCY_ADMIN)
- Управление рисками (RISK_ADMIN)
- Возможность взаимодействия с мостом (BRIDGE)
Именно последняя функция позволила злоумышленнику выпустить необеспеченные токены acUSDC и вывести средства.
Детали атаки
Эксперты SlowMist обнаружили, что за шесть дней до инцидента в мультисиг-кошелёк CrediX был добавлен подозрительный адрес с административными правами.
"Злоумышленник, действуя как мост, смог выпускать для себя токены обеспечения. Это привело к массовому заимствованию средств и опустошению пула", — пояснили в SlowMist.
После взлома украденные активы были переведены из Sonic в Ethereum. На момент публикации данные CertiK показывают, что средства распределены между тремя кошельками.
Реакция команды CrediX
Разработчики оперативно отреагировали на инцидент:
"Мы отключили сайт, чтобы пользователи не вносили депозиты. Для вывода средств используйте смарт-контракты", — сообщили представители проекта.
Также они пообещали компенсировать потери пострадавшим в течение 24-48 часов. Однако пока неясно, за счёт каких ресурсов будет проведено возмещение.
Почему это важно
Атака на CrediX вновь поднимает вопрос безопасности DeFi-протоколов. Несмотря на децентрализацию, уязвимости в управляющих контрактах и человеческий фактор остаются слабыми местами.