Pour Résumer
- Un pirate a volé 4,5 millions de dollars en cryptomonnaies sur le protocole DeFi CrediX en exploitant une faille dans le mécanisme de création de jetons.
- Le pirate a utilisé des rôles d'administrateur pour émettre des jetons non garantis, créant de l'argent à partir de rien et détournant des fonds via le réseau Sonic vers Ethereum.
- En réponse, CrediX a désactivé son site web et conseillé aux utilisateurs de retirer leurs fonds, soulignant l'ampleur de la faille dans un protocole qui venait à peine de lancer ses services.
Origine du piratage
Selon la société de sécurité blockchain CertiK, un pirate informatique a dérobé lundi 4,5 millions de dollars en cryptomonnaies. Cela a été réalisé via le protocole financier décentralisé CrediX.
Les fonds, qui semblent toujours être sous le contrôle du pirate, ont ensuite été transférés de Sonic. Ce dernier est un réseau de couche 1 lancé l’année dernière, vers Ethereum.
En détournant des actifs et en créant des jetons acUSDC non garantis, le pirate a planifié le vol en utilisant le rôle BRIDGE. Cet actif synthétique est propre au marché Sonic USDC de CrediX. Sans aucun soutien ni garantie, le pirate a pu emprunter et drainer les actifs du pool. Il a réussi cela en utilisant cette faille de création, créant ainsi de l’argent à partir de rien.
En conséquence, l’un des mécanismes du protocole a été compromis. CrediX a désactivé son site web en réponse, conseillant aux utilisateurs de retirer leurs fonds en utilisant uniquement des contrats intelligents.
En raison de l’absence d’infrastructure de secours permettant d’isoler ou de mettre en quarantaine les autorisations compromises. Cette mesure extrême souligne la gravité de la situation. En gros, cela signifie incertitude et contrôle des dommages pour les investisseurs et les utilisateurs.
We have good news for our users. Reached succesfull parley with the exploiter who agreed to return the the funds within the next 24-48 hours in return for money fully paid by the credix treasury. We have addresses of all the affected users and will airdrop them their share of…
— CrediX (@CrediX_fi) August 4, 2025
CrediX Finance ciblé quelques semaines seulement après son lancement
CrediX Finance n’était en service que depuis environ un mois lorsque l’exploitation a eu lieu. La plateforme permettait aux utilisateurs d’emprunter des prêts cryptographiques contre des revenus. Elle a aussi permis d’accéder à des garanties hors chaîne pour relier les actifs du monde réel à la DeFi.
Malheureusement, le protocole, qui en était à ses débuts, conservait des mécanismes de contrôle centralisés. Ce sont notamment des portefeuilles administratifs multisignatures avec des droits de passerelle.
Selon la société de sécurité blockchain SlowMist, l’attaquant s’était vu attribuer les rôles d’administrateur et de passerelle via l’ACLManager du protocole six jours avant le piratage. Grâce à ces rôles, le pirate a émis des jetons de garantie via le CrediX Pool. L’individu a emprunté 2,64 millions de dollars et finalement détourné un total de 4,5 millions de dollars de la plateforme.
Le réseau principal de Sonic a fait ses débuts en décembre, peu après que le réseau ait été rebaptisé Fantom. Selon le fournisseur de données cryptographiques DeFiLlama, environ 437 millions de dollars d’actifs sont actuellement utilisés dans les protocoles DeFi.
CrediX a des plans détaillés pour un airdrop centré sur son prochain jeton CREDIT, mais celui-ci n’a pas encore été lancé. Lundi, le jeton S natif de Sonic a augmenté de 1,6 % pour atteindre 0,30 $, mais le prix du jeton a diminué de 39 % au cours du mois dernier.
Source : Yahoo Finance
À lire aussi :
- XRP à 3 dollars : les altcoins suivent, le marché s’emballe
- La statue de Satoshi volée et jetée dans le lac à Lugano