CrediX 4,5 Milyon Dolarlık Hack Tarafından Vuruldu, Saldırgan Ethereum'a Fonları Köprüledi
DeFi projesi CrediX'in saldırıya uğradığı ve zararın 4,5 milyon dolar olarak tahmin edildiği bildirildi. Olay, saldırganın sisteme yetkisiz erişim sağlamasına izin veren özel bir anahtarın ele geçirilmesinin sonucu gibi görünüyor.
Credix'te bir güvenlik ihlali olmuş gibi görünüyor. Araştırıyoruz ve detayları yakında paylaşacağız
— CrediX (@CrediX_fi) Ağustos 4, 2025
CrediX, Ağlar Arası İstismardan Etkilendi
Bir güvenlik adımı olarak CrediX, yeni kullanıcı para yatırma işlemlerini engellemek için web sitesini çevrimdışına aldı. Güvenlik firması CertiK, çalınan fonların Sonic ağından Ethereum'a taşındığını bildirdi. Şimdiye kadar, saldırganın cüzdanı çalınan varlıkları hala tutuyor ve başka bir hareket olmadı.
Bir Web3 güvenlik firması olan Cyvers Alerts, Sonic ağında CrediX'i içeren çok sayıda şüpheli işlemi de işaretledi. Onlara göre, Ethereum'da Tornado Cash aracılığıyla finanse edilen bir adres, Sonic'e fon sağladı ve ardından CrediX'ten yaklaşık 2,64 milyon dolar borç aldı.
🚨UYARI🚨: Sistemimiz, #Sonic ağında @CrediX_fi içeren birden fazla şüpheli işlem tespit etti.
🚨 — Cyvers Uyarıları 🚨 (@CyversAlerts) Ağustos 4, 2025
#ETH ağındaki @TornadoCash tarafından finanse edilen bir adres, #Sonic ağına fon sağladı ve @CrediX_fi'dan yaklaşık 2,64 milyon borç aldı.
Bu fonların çoğu... pic.twitter.com/vK2y21Vhu9
Erişim Kusuru, Saldırganın CrediX Havuzunu Boşaltmasına İzin Veriyor
Zincir üstü güvenlik firması SlowMist, istismarın tespit edilmesinden altı gün önce, saldırganın ACLManager kullanılarak CrediX Multisig Cüzdanına hem Yönetici hem de Köprü olarak eklendiğini belirtiyor. Köprü düzeyinde ayrıcalıklarla saldırgan, CrediX Havuzu aracılığıyla mint teminat tokenlerine doğrudan erişim elde etti.
Yeni basılan tokenleri kullanarak protokolden büyük miktarda varlık ödünç alabildiler ve sonuçta havuzu boşalttılar. Bu, bir multisig kurulumunda erişim ve roller düzgün bir şekilde yönetilmediğinde ne kadar riskli olabileceğini gösterir ve DeFi sistemlerinde yönetişim güvenliğinin ne kadar kritik olduğunu vurgular.
Tüm kullanıcıların fonları 24-48 saat içinde tam olarak geri alınacaktır
— CrediX (@CrediX_fi) Ağustos 4, 2025
CrediX, kullanıcılara tüm fonların 24-48 saat içinde tamamen geri alınacağına dair güvence verdi.
Hacken'in bir raporuna göre, kripto kayıpları 2025'in ilk yarısında 3,1 milyar dolara ulaştı ve bunun çoğu multisig cüzdan arızalarından geldi. Bu cüzdanlar genellikle sahte arayüzler ve zayıf imzalayan yönetimi yoluyla istismar edildi.
En zarar verici saldırı, imzalayanların sahte bir kullanıcı arayüzü tarafından kandırıldığı 1,46 milyar dolarlık Bybit hack'iydi.
Hacken Gerçek Zamanlı Multisig Güvenlik Çağrısında Bulundu
Bu yılki tüm kripto kayıplarının %80'inden fazlası erişim kontrolü hatalarından kaynaklandı. Hacken şimdi projelerin tek seferlik denetimlerden uzaklaşmasını ve gerçek zamanlı, yapay zeka güdümlü güvenlik sistemlerini benimsemesini öneriyor. Bu araçlar, multisig cüzdan etkinliğini izleyebilir, anormal davranışları tespit edebilir ve daha hızlı yanıt süreleri sağlayabilir.
Hacken ayrıca ekiplerin imzalayanları ve kullanıcı arayüzlerini yalnızca teknik özellikler olarak değil, güvenlik sisteminin temel unsurları olarak ele almalarını tavsiye ediyor. DeFi platformları gelecekte benzer saldırılardan kaçınmak istiyorsa gelişmiş eğitim, daha sıkı otomasyon ve daha sıkı kurallar gereklidir.
Sıkça Sorulan Sorular
CrediX saldırısı, saldırgan yöneticinin ve köprü erişiminin havuzu boşaltmasına izin veren özel bir anahtarın ele geçirilmesinden kaynaklandı.
Evet. CrediX, kullanıcılara çalınan tüm fonların istismardan sonraki 24-48 saat içinde kurtarılacağına dair güvence verdi.
Büyük 2025 saldırıları arasında Coinbase'den 400 milyon dolar, Cetus'tan 220 milyon dolar ve BSC, Phemex ve UPCX açıklarından milyonlarca dolar daha yer alıyor.