Dự án DeFi CrediX bị tấn công gây thiệt hại khoảng 4,5 triệu USD do lỗ hổng quyền truy cập và quản lý multisig Wallet.
Sự cố khai thác chéo mạng đã dẫn đến việc kẻ tấn công truy cập trái phép, lấy cắp tài sản từ quỹ CrediX trên Sonic Network và chuyển sang Ethereum. CrediX cam kết khôi phục toàn bộ số tiền trong vòng 24–48 giờ.
- CrediX bị khai thác qua lỗ hổng quyền truy cập multisig Wallet, gây mất khoảng 4,5 triệu USD.
- Hacker lợi dụng vai trò Admin và Bridge trong multisig để mint Token và vay tài sản quá hạn mức.
- Báo cáo Hacken 2025 nhấn mạnh đa số thiệt hại tiền điện tử đến từ lỗi kiểm soát truy cập multisig, cần bảo mật thời gian thực và đào tạo nghiêm ngặt.
CrediX bị khai thác qua hình thức khai thác chéo mạng như thế nào?
Việc CrediX bị khai thác bắt nguồn từ khuôn khổ truy cập và di chuyển tài sản giữa các mạng Sonic và Ethereum. Kẻ tấn công đã dùng một địa chỉ được tài trợ từ Tornado Cash trên Ethereum để chuyển tiền qua cầu nối sang Sonic, rồi vay ước tính 2,64 triệu USD từ CrediX.
Hành động này cho thấy rủi ro nghiêm trọng khi một lỗ hổng được kẻ xấu khai thác để thực hiện gọi Token thế chấp trái phép và rút hết tiền từ liquidity pool của dự án. Sự việc buộc CrediX phải tạm ngưng hoạt động website để chặn nhận tiền gửi mới.
Lỗ hổng truy cập ra sao cho phép hacker rút tiền từ quỹ CrediX?
Chuyên gia an ninh On-chain SlowMist xác định kẻ tấn công đã được thêm vào multisig Wallet của CrediX với quyền Admin và Bridge trước khi xảy ra sự cố, thông qua ACLManager. Với quyền Bridge, hacker có thể trực tiếp mint Token thế chấp.
Nhờ lượng Token mới được mint này, hacker vay được số lượng lớn tài sản và làm cạn kiệt quỹ. Sự việc cho thấy cách quản lý quyền hạn không đúng chuẩn có thể dẫn đến giảm nghiêm trọng cho dự án DeFi.
Việc quản trị multisig cần thận trọng và bảo mật tuyệt đối để bảo vệ tài sản người dùng, bởi một lỗi nhỏ có thể gây hậu quả lớn.
SlowMist, chuyên gia an ninh blockchain, 2025
CrediX cam kết hoàn trả toàn bộ số tiền trong vòng 24–48 giờ, thể hiện trách nhiệm đối với người dùng trong khủng hoảng.
Lý do multisig Wallet trở thành mục tiêu tấn công lớn trong năm 2025?
Báo cáo nửa đầu năm 2025 từ Hacken cho biết tổng thiệt hại từ tiền điện tử lên đến 3,1 tỷ USD, phần lớn do lỗi multisig Wallet. Các cuộc tấn công thường diễn ra qua giao diện giả mạo hoặc quản lý signer kém hiệu quả.
Đáng chú ý nhất là vụ tấn công Bybit với thiệt hại 1,46 tỷ USD, khi các signer bị lừa qua UI giả mạo. Điều này làm nổi bật nguy cơ bảo mật từ việc xử lý quyền truy cập trong DeFi và các dự án tiền điện tử.
Hacken đề xuất giải pháp nào để tăng cường bảo mật multisig?
Hacken cảnh báo hơn 80% tổn thất tiền điện tử năm 2025 do mất an toàn kiểm soát truy cập. Họ khuyên các dự án không chỉ dựa vào kiểm toán một lần mà cần ứng dụng hệ thống bảo mật thời gian thực, tích hợp AI để phát hiện hành vi bất thường nhanh chóng.
Ngoài ra, Hacken nhấn mạnh việc đào tạo signer và cải tiến giao diện người dùng là thiết yếu để phòng tránh các cuộc tấn công tương tự trong tương lai, góp phần nâng cao toàn diện hệ sinh thái DeFi.
Bảo mật multisig không chỉ là kỹ thuật mà còn là quản trị con người và hệ thống, cần được đầu tư bài bản và liên tục.
Hacken, Báo cáo An ninh Tiền điện tử 2025
Những câu hỏi thường gặp
CrediX bị mất bao nhiêu tiền điện tử trong đợt tấn công?
CrediX mất khoảng 4,5 triệu USD do kẻ tấn công khai thác lỗ hổng quyền truy cập multisig Wallet.
Làm cách nào kẻ tấn công rút hết tài sản từ CrediX?
Hacker được thêm làm Admin và Bridge trong multisig Wallet, từ đó mint Token và vay tài sản vượt hạn mức khiến quỹ bị rút sạch.
CrediX có kế hoạch gì sau sự cố này?
CrediX cam kết sẽ hoàn trả toàn bộ số tiền trong 24–48 giờ và đã tạm đóng website để ngăn chặn khoản tiền gửi mới.
Tại sao multisig Wallet lại dễ bị tấn công nhiều trong 2025?
Lỗi quản lý signer và giả mạo giao diện người dùng dẫn đến phần lớn giảm tiền điện tử do multisig Wallet lộ quyền truy cập.
Giải pháp nào được khuyến nghị để bảo mật multisig hiệu quả?
Hệ thống bảo mật thời gian thực, tích hợp AI, đào tạo signer và nâng cao giao diện người dùng là các biện pháp then chốt.