CrediX Finance offline setelah peretas menggunakan eksploitasi admin multisig untuk menguras $4,5 juta dari protokol.
Ringkasan
CrediX Finance offline setelah hack sebesar $4,5 juta
Penyerang memanfaatkan kerentanan di akun adminnya
Protokol diluncurkan hanya sebulan yang lalu
Keamanan tetap menjadi perhatian utama bagi proyek DeFi, terutama yang memiliki kepemilikan dan kontrol terpusat. Pada hari Senin, 4 Agustus, kurang dari sebulan setelah peluncurannya, CrediX Finance mengalami gangguan setelah dieksploitasi sebesar $4,5 juta.
Menurut perusahaan keamanan blockchain SlowMist, para penyerang mendapatkan akses ke dompet multisig admin dan jembatan protokol enam hari sebelum insiden tersebut. Dengan akses ini, mereka bertindak sebagai jembatan dan mencetak token jaminan.
Token-token ini kemudian digunakan untuk meminjam jumlah besar crypto, dengan cepat menguras likuiditas CrediX Finance. Perusahaan keamanan CertiK mengonfirmasi bahwa protokol kehilangan sekitar $4,5 juta. Para penyerang menjembatani dana yang dicuri dari Sonic (S) ke Ethereum (ETH).
Bagaimana peretasan CrediX Finance terjadi
CrediX Finance diluncurkan pada Juli 2025 sebagai protokol peminjaman aset dunia nyata. Ini memungkinkan peminjam untuk menerima pinjaman yang didukung oleh pendapatan off-chain dan jaminan yang diberikan oleh pemberi pinjaman DeFi.
Insiden ini adalah salah satu dari beberapa eksploitasi terkait DeFi baru-baru ini. Menurut CertiK, $153 juta hilang akibat berbagai eksploitasi dan penipuan crypto hanya pada bulan Juli. Dari jumlah ini, insiden yang terkait dengan pertukaran menyumbang $86,6 juta, sementara kerentanan kode menyebabkan kerugian sebesar $55,4 juta.
Meskipun ada label "terdesentralisasi", banyak protokol DeFi yang mempertahankan elemen sentralisasi. Dompet admin multisig sering memiliki kemampuan untuk menghentikan kontrak, mengubah parameter protokol, atau mencetak token baru.
Untuk beberapa proyek, ini penting pada tahap awal, saat protokol sedang berkembang. Namun, ini juga memungkinkan penyerang untuk mengeksploitasi protokol ini jika mereka dapat mengakses akun admin.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
CrediX Finance diretas sebesar $4,5 juta melalui celah pemerintahan
CrediX Finance offline setelah peretas menggunakan eksploitasi admin multisig untuk menguras $4,5 juta dari protokol.
Ringkasan
Keamanan tetap menjadi perhatian utama bagi proyek DeFi, terutama yang memiliki kepemilikan dan kontrol terpusat. Pada hari Senin, 4 Agustus, kurang dari sebulan setelah peluncurannya, CrediX Finance mengalami gangguan setelah dieksploitasi sebesar $4,5 juta.
Menurut perusahaan keamanan blockchain SlowMist, para penyerang mendapatkan akses ke dompet multisig admin dan jembatan protokol enam hari sebelum insiden tersebut. Dengan akses ini, mereka bertindak sebagai jembatan dan mencetak token jaminan.
Token-token ini kemudian digunakan untuk meminjam jumlah besar crypto, dengan cepat menguras likuiditas CrediX Finance. Perusahaan keamanan CertiK mengonfirmasi bahwa protokol kehilangan sekitar $4,5 juta. Para penyerang menjembatani dana yang dicuri dari Sonic (S) ke Ethereum (ETH).
Bagaimana peretasan CrediX Finance terjadi
CrediX Finance diluncurkan pada Juli 2025 sebagai protokol peminjaman aset dunia nyata. Ini memungkinkan peminjam untuk menerima pinjaman yang didukung oleh pendapatan off-chain dan jaminan yang diberikan oleh pemberi pinjaman DeFi.
Insiden ini adalah salah satu dari beberapa eksploitasi terkait DeFi baru-baru ini. Menurut CertiK, $153 juta hilang akibat berbagai eksploitasi dan penipuan crypto hanya pada bulan Juli. Dari jumlah ini, insiden yang terkait dengan pertukaran menyumbang $86,6 juta, sementara kerentanan kode menyebabkan kerugian sebesar $55,4 juta.
Meskipun ada label "terdesentralisasi", banyak protokol DeFi yang mempertahankan elemen sentralisasi. Dompet admin multisig sering memiliki kemampuan untuk menghentikan kontrak, mengubah parameter protokol, atau mencetak token baru.
Untuk beberapa proyek, ini penting pada tahap awal, saat protokol sedang berkembang. Namun, ini juga memungkinkan penyerang untuk mengeksploitasi protokol ini jika mereka dapat mengakses akun admin.