Tin tức Crypeto: Vụ hack CrediX đẩy tổn thất DeFi lên 3,1 tỷ USD năm 2025 khi lỗi multisig gia tăng
Nhà giao dịch thông minh không bao giờ trả phí đầy đủ. Sử dụng mã giới thiệu này để tiết kiệm trọn đời: Binance WZ9KD49N / OKX 26021839
Đối tượng tấn công đã có quyền truy cập quản trị 6 ngày trước khi thực hiện cuộc tấn công.
Vay được 2,64 triệu USD sau khi tạo ra các token đảm bảo giả mạo.
Hacken kêu gọi theo dõi AI thời gian thực để đảm bảo an toàn cho ví DeFi.
Ngành tài chính phi tập trung một lần nữa bị chấn động bởi một vụ lỗ hổng lớn – lần này nhắm vào CrediX.
Dự án được cho là mất 4,5 triệu USD sau một cuộc tấn công được thực hiện nhờ việc lộ khóa riêng tư và lỗ hổng trong quyền kiểm soát quản trị.
Kẻ tấn công đã chuyển tiền qua các mạng lưới, lợi dụng quyền truy cập quản trị và rút hết số tiền trong CrediX Pool bằng các token đảm bảo được tạo ra.
Sự việc này làm gia tăng lo ngại về tính an toàn của các ví đa chữ ký, vốn chiếm phần lớn trong số 3,1 tỷ USD tiền mã hóa bị mất trong năm nay.
Tiền được chuyển từ Sonic sang Ethereum khi nền tảng bị tạm dừng
CrediX đã gỡ website xuống để ngăn chặn các khoản gửi tiếp theo.
Công ty bảo mật blockchain CertiK xác nhận rằng số tiền bị đánh cắp đã được chuyển từ mạng Sonic sang Ethereum.
Nền tảng bảo mật Web3 Cyvers Alerts đã phát hiện nhiều giao dịch đáng ngờ trên Sonic, theo dấu một địa chỉ được cấp tiền thông qua Tornado Cash trên Ethereum.
Địa chỉ này đã chuyển tiền sang Sonic và vay khoảng 2,64 triệu USD từ CrediX.
Số tiền này có thể đã được rút ra bằng các token đảm bảo mà kẻ tấn công đã tạo ra sau khi có quyền truy cập trái phép.
Quyền truy cập quản trị và quyền cầu nối đã mở đường cho việc lừa đảo tạo token
Theo SlowMist, một nhà cung cấp bảo mật chuỗi khối, đối tượng đã được cấp quyền Quản trị và Cầu nối trong Ví Đa chữ ký của CrediX sáu ngày trước khi xảy ra sự cố.
Những quyền này được cấp thông qua ACLManager của giao thức.
Với quyền truy cập ở cấp độ Cầu nối, đối tượng đã có thể tạo ra các token đảm bảo thông qua CrediX Pool, sau đó sử dụng chúng để vay tài sản và cuối cùng rút hết nguồn lực của hệ thống.
Loại lỗ hổng này nhấn mạnh một rủi ro quan trọng trong mô hình quản trị phi tập trung, đặc biệt là về kiểm soát quyền truy cập dựa trên vai trò.
Thiếu giám sát trong việc phân quyền, đặc biệt là trong môi trường đa chữ ký, khiến các nền tảng DeFi dễ bị tổn thương do nội bộ hoặc bên ngoài.
Ví đa chữ ký liên quan đến phần lớn tổn thất tiền mã hóa năm 2025
Sự việc CrediX là một phần của xu hướng rộng lớn hơn trong năm nay.
Báo cáo từ công ty bảo mật Hacken cho biết 3,1 tỷ USD tiền mã hóa đã bị mất trong nửa đầu năm 2025, với phần lớn các trường hợp liên quan đến ví đa chữ ký.
Các ví này thường bị xâm nhập thông qua các chiến thuật như lừa đảo xã hội, giao diện giả mạo hoặc cấu hình người ký sai lệch.
Cuộc tấn công lớn nhất năm nay vẫn là vụ lừa đảo Bybit trị giá 1,46 tỷ USD, nơi những kẻ tấn công đã lừa các người ký đa chữ ký bằng giao diện giả mạo.
Phát hiện mối đe dọa thời gian thực trở thành ưu tiên, theo Hacken
Trước tình trạng xảy ra ngày càng nhiều các sự cố như vậy, Hacken đã khuyến nghị chuyển từ các kiểm tra bảo mật truyền thống một lần.
Thay vào đó, công ty ủng hộ các hệ thống bảo mật dựa trên AI thời gian thực, theo dõi hoạt động đa chữ ký và phát hiện hành vi bất thường ngay lập tức.
Theo Hacken, hơn 80% tổn thất tiền mã hóa năm nay bắt nguồn từ các lỗi kiểm soát truy cập.
Công ty kêu gọi các nền tảng triển khai đào tạo kỹ hơn cho người ký, áp dụng các quy tắc tự động chặt chẽ hơn và coi giao diện và người ký là yếu tố thiết yếu trong bảo mật hệ thống.
Trong khi đó, CrediX cho biết họ hy vọng sẽ thu hồi số tiền bị đánh cắp trong vòng 24–48 giờ, dù chưa có thêm chi tiết nào được cung cấp tại thời điểm này.
Chia sẻ bài viếtChuyên mụcTags
Dưới đây là nội dung đã được chuyển đổi thành các câu hỏi thường gặp (FAQ) dành cho người dùng mới, bằng tiếng Việt và giữ nguyên định dạng HTML:
Người tấn công đã có quyền truy cập quản trị 6 ngày trước khi xảy ra vụ tấn công.
Bắt chước $2.64 triệu sau khi tạo ra các token thế chấp giả mạo.
Hacken kêu gọi giám sát AI thời gian thực để bảo vệ ví DeFi.
Thị trường tài chính phi tập trung một lần nữa bị rung động bởi một sự cố lớn — lần này nhắm vào CrediX.
Dự án được cho là đã mất $4.5 triệu sau một cuộc tấn công được thực hiện nhờ việc rò rỉ khóa riêng tư và lỗ hổng trong quyền quản trị.
Người tấn công đã chuyển tiền qua các mạng lưới, lợi dụng quyền truy cập quản trị và rút hết số dư từ CrediX Pool thông qua các token thế chấp được tạo ra.
Sự việc này đã làm gia tăng lo ngại về an toàn của các ví multisig, những ví này đã chiếm phần lớn số tiền 3.1 tỷ USD bị mất trong năm 2025.
Tiền được chuyển từ Sonic đến Ethereum khi nền tảng tạm dừng hoạt động
CrediX đã đóng website để ngăn chặn các khoản gửi tiếp theo.
Công ty bảo mật blockchain CertiK xác nhận rằng số tiền bị đánh cắp đã được chuyển từ mạng Sonic sang Ethereum.
Nền tảng bảo mật Web3 Cyvers Alerts đã phát hiện nhiều giao dịch đáng ngờ trên Sonic, truy tìm một địa chỉ được cấp vốn thông qua Tornado Cash trên Ethereum.
Địa chỉ này đã chuyển tiền sang Sonic và vay khoảng $2.64 triệu từ CrediX.
Số tiền này có thể đã được rút ra bằng cách sử dụng các token thế chấp mà người tấn công đã tạo sau khi có quyền truy cập trái phép.
Quyền quản trị và quyền cầu nối đã mở đường cho việc lừa đảo tạo token
Theo SlowMist, một nhà cung cấp bảo mật chuỗi khối, người tấn công đã được cấp quyền Quản trị và Cầu nối trong Ví Multisig của CrediX sáu ngày trước khi xảy ra vụ lừa đảo.
Những quyền này đã được phân bổ thông qua ACLManager của giao thức.
Với quyền Cầu nối, người tấn công có thể tạo ra các token thế chấp thông qua CrediX Pool, sau đó sử dụng chúng để vay tài sản và cuối cùng rút hết nguồn lực của giao thức.
Loại lừa đảo này nhấn mạnh một rủi ro quan trọng trong mô hình quản trị phi tập trung, đặc biệt là ở khía cạnh kiểm soát quyền truy cập dựa trên vai trò.
Thiếu sự giám sát trong việc cấp quyền, đặc biệt là trong môi trường multisig, khiến các giao thức DeFi dễ bị tổn thương từ bên trong hoặc bên ngoài.
Ví multisig liên quan đến phần lớn thiệt hại trong năm 2025
Vụ việc CrediX là một phần của xu hướng rộng lớn hơn trong năm nay.
Một báo cáo từ công ty bảo mật Hacken cho biết rằng 3.1 tỷ USD tiền mã hóa đã bị mất trong nửa đầu năm 2025, với phần lớn các trường hợp liên quan đến ví multisig.
Những ví này thường bị xâm nhập thông qua các chiến thuật như lừa đảo xã hội, giao diện giả mạo hoặc cấu hình người ký sai lệch.
Cuộc tấn công lớn nhất năm nay vẫn là vụ Bybit bị đánh cắp 1.46 tỷ USD, nơi những kẻ tấn công đã lừa các người ký multisig bằng giao diện giả mạo.
Phát hiện mối đe dọa thời gian thực trở thành ưu tiên, theo Hacken
Trước tình trạng gia tăng các sự kiện như vậy, Hacken đã khuyến nghị chuyển từ các cuộc kiểm tra bảo mật truyền thống một lần sang các hệ thống bảo mật dựa trên AI theo thời gian thực.
Họ đề xuất các hệ thống giám sát hoạt động multisig và phát hiện hành vi bất thường ngay lập tức.
Theo Hacken, hơn 80% thiệt hại tiền mã hóa trong năm nay bắt nguồn từ sự cố kiểm soát quyền truy cập.
Công ty kêu gọi các nền tảng triển khai đào tạo nghiêm ngặt hơn cho người ký, áp dụng các quy tắc tự động chặt chẽ hơn và coi giao diện và người ký là yếu tố thiết yếu trong an ninh hệ thống.
Trong khi đó, CrediX cho biết họ đang cố gắng thu hồi số tiền bị đánh cắp trong vòng 24–48 giờ, tuy nhiên chưa có thông tin chi tiết nào được cung cấp tại thời điểm này.
Chia sẻ bài viếtChuyên mụcGắn thẻ
🚀 Bắt đầu hành trình trading của bạn:
Đăng ký tài khoản Binance hoặc OKX với mã giới thiệu của chúng tôi để nhận hoàn phí giao dịch lên đến 50%!
