攻击者获得了多个管理员权限

桥梁角色允许攻击者铸造代币，榨干池子。

像Tornado Cash这样的隐私工具隐藏了被盗的加密货币

Credix 的盗窃金额高达 264 万美元，这在协议用户中引起了恐慌。这个漏洞被 区块链 追踪器 Cyvers Alerts 和 SlowMist 发现。几分钟内，社交媒体上充满了可信的警告。

安全专家 SlowMist 表示“六天前，CrediX 多签名钱包的 ACLManager 将 Admin 和 Bridge 添加为攻击者。” 这些信息由专家提供。此信息立即引起了连锁反应。Credix 网站关闭以阻止进一步存款。

管理员角色漏洞：打开了保险库

根本原因令许多人震惊：管理员访问错误。The Bridge 角色由一个具有高权限的地址组成，该地址获得了控制权并发行了未支持的代币。PeckShield 在 X 上报道了被滥用的管理员账户，该账户被命名为 The BRIDGE 角色被滥用以榨取池资产。那次权限错误在瞬间损失了数百万。

SlowMist 在 X 上的一篇帖子中详细说明：“作为 Bridge 参与者，攻击者实际上使用 Pool 为自己铸造了保证金代币。”这些资金在 Sonic Network 被转移出来，并在短时间内发送到 Ethereum，因此，几乎不可能进行追踪和恢复。

多重签名信任破碎 – 这怎么会出错？

监管机构现在正在仔细审查Credix，去年该平台因其获得6000万美元信贷额度而受到赞誉。在实际抢劫的六天前，攻击者通过ACLManager获得了管理员和桥接控制器的权限，而且没有被注意到。 攻击者使用协议自身的智能合约铸造代币，并将其作为抵押品借出巨额资金，随意抽走流动性。

PeckShield 发现X上存在被黑账户，并且管理员拥有的权限：POOL_ADMIN、BRIDGE、ASSET_LISTING_ADMIN、EMERGENCY_ADMIN和RISK_ADMIN均由一个被控制地址控制。

区块链调查人员表示，Tornado Cash 使攻击者的痕迹变得模糊。正如 SlowMist 和 Cyvers 所意识到的那样，隐私混合器使非法资金的追踪变得极其困难。这影响了协议的受害者以及负责调查这些协议的人。

Credix向用户保证，即使在网站关闭的情况下，他们的资金仍然可以通过智能合约访问。该协议提到，所有资金应在24-48小时内恢复，然而，许多投资者仍然谨慎。