Роли скомпрометированы
Децентрализованная биржа CrediX_fi потерпела разрушительный пробел в безопасности, в результате чего злоумышленники вывели около 4,5 миллиона долларов из нескольких пулов. Эксплуатация произошла из-за скомпрометированной учетной записи администратора, заканчивающейся на 662e, которая обладала опасно широкими правами в протоколе: включая POOL_ADMIN, BRIDGE, ASSET_LISTING_ADMIN, EMERGENCY_ADMIN и RISK_ADMIN.
Происхождение хакерства
Путем откачки активов и чеканки необеспеченных токенов acUSDC, синтетического актива, уникального для рынка Sonic USDC CrediXs, злоумышленник спланировал кражу, используя роль BRIDGE. Без какой-либо поддержки или залога хакер смог занять и исчерпать активы пула, используя этот эксплойт чеканки, по сути создавая деньги из воздуха.
Источник: PeckshieldВ результате один из механизмов протокола пострадал от нарушения. CrediX отключил свой веб-сайт в ответ, советуя пользователям выводить средства только с помощью смарт-контрактов. Из-за отсутствия резервной инфраструктуры протокола для изоляции или карантина скомпрометированных разрешений эта крайняя мера подчеркивает, насколько серьезна ситуация. Это означает неопределенность и контроль за ущербом для инвесторов и пользователей.
Скомпрометированные роли
Основные роли были скомпрометированы, протокол теперь серьезно скомпрометирован, и разработчики не были прозрачными в отношении аудитов по исправлению или дорожной карты восстановления. Инвесторы должны ожидать долгосрочных последствий. Ликвидность пула CrediX, вероятно, исчезнет. acUSDC и любые токены управления или полезности, связанные с протоколом, находятся под угрозой коллапса из-за серьезного эрозии доверия к токенам.
Разработчики теряют доверие к целостности смарт-контрактов и управлению ролями, даже если они восстанавливают контроль. Адрес, который может выступать в роли бога в нескольких системах, превращает экосистему в единую точку отказа. Инвесторы должны избегать дальнейшей зависимости от CrediX до тех пор, пока не будет обеспечена полная прозрачность, ончейн-расследования и аудит сторонними организациями.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Хак на 4,5 миллиона долларов: рынок DeFi снова пострадал
Происхождение хакерства
Путем откачки активов и чеканки необеспеченных токенов acUSDC, синтетического актива, уникального для рынка Sonic USDC CrediXs, злоумышленник спланировал кражу, используя роль BRIDGE. Без какой-либо поддержки или залога хакер смог занять и исчерпать активы пула, используя этот эксплойт чеканки, по сути создавая деньги из воздуха.
Скомпрометированные роли
Основные роли были скомпрометированы, протокол теперь серьезно скомпрометирован, и разработчики не были прозрачными в отношении аудитов по исправлению или дорожной карты восстановления. Инвесторы должны ожидать долгосрочных последствий. Ликвидность пула CrediX, вероятно, исчезнет. acUSDC и любые токены управления или полезности, связанные с протоколом, находятся под угрозой коллапса из-за серьезного эрозии доверия к токенам.
Разработчики теряют доверие к целостности смарт-контрактов и управлению ролями, даже если они восстанавливают контроль. Адрес, который может выступать в роли бога в нескольких системах, превращает экосистему в единую точку отказа. Инвесторы должны избегать дальнейшей зависимости от CrediX до тех пор, пока не будет обеспечена полная прозрачность, ончейн-расследования и аудит сторонними организациями.