价值 450 万美元的 CrediX DeFi 协议漏洞背后的黑客同意在与协议团队成功谈判后 24 至 48 小时内归还被盗资金。
CrediX 在社交媒体上宣布了该协议,称剥削者将获得“由 CrediX 国库全额支付”的补偿,而受影响的用户将获得其资产份额的空投。
多重签名钱包泄露桥接角色漏洞
该决议是在为期六天的妥协之后达成的,攻击者获得了对 CrediX 多重签名钱包的管理控制权,并滥用桥接权限在 Sonic 网络上铸造了无支持的抵押代币。
黑客使用 Tornado Cash 资助的地址来利用 BRIDGE 角色权限,直接铸造 acUSDC 代币,然后以毫无价值的抵押品借款,从借贷池中抽走约 264 万美元。
CrediX 加入了越来越多的 2025 年 DeFi 协议名单,这些协议成功与剥削者协商了资金回报,其中包括 GMX 的 4050 万美元巨额追回。
这一趋势与 2025 年毁灭性的安全记录形成鲜明对比,上半年 344 起事件净损失达 22.9 亿美元。
安全专家指出,大多数黑客意识到,由于增强的区块链取证和法律风险,保留被盗加密货币带来的问题多于好处。
然而,Immunefi 首席执行官 Mitchell Amador 在接受 Cryptonews 采访时警告说,“依靠黑客的改变主意并不是协议安全的可行策略”,同时指出近 80% 的被黑客攻击项目在被利用后永远不会完全恢复其价值。
白帽谈判成为漏洞不断增加的恢复策略
CrediX 的恢复延续了 DeFi 协议与寻求法律特赦以换取资金回报的剥削者之间成功谈判的模式。
GMX 协议在向攻击者悬赏 500 万美元后,于 7 月追回了 4050 万美元,攻击者利用重入漏洞通过闪电贷纵代币定价。
同样,ZKsync 协会在 4 月份追回了 500 万美元,当时黑客利用空投分发合约的 sweepUnclaimed 函数铸造了 1.11 亿个无人认领的代币。
攻击者接受了 10% 的赏金,并在指定的 72 小时安全港窗口内归还了 90% 的被盗资产。
KiloEx 在向利用价格预言机漏洞纵 ETH/USD 提要的攻击者发出最后通牒后,也在 4 月份实现了完全资金追回。
该协议提供 90% 的回报条件和 10% 的白帽赏金,同时威胁法律追究和交易所合作以冻结相关地址。
这些成功的谈判与 2025 年的重大损失形成鲜明对比,包括 Bybit 的 15 亿美元盗窃、Cetus Protocol 最初的 2.25 亿美元流失以及正在进行的 2.34 亿美元的 WazirX 法律诉讼。
关于 Cetus 案,Sui 验证者介入,通过区块链治理而非黑客合作,冻结并重新分配了 1.62 亿美元。
CertiK 数据显示,2025 年上半年,加密货币投资者在 344 起事件中损失了 24.7 亿美元,其中仅 34 起攻击就涉及钱包相关漏洞的损失为 17 亿美元。
网络钓鱼诈骗通过 132 起独立事件造成了 4.1 亿美元的损失,而智能合约漏洞仅在 5 月份就造成了 2.29 亿美元的损失。
安全专家警告不要采取被动措施,因为预防仍然是关键
Immunefi 的 Mitchell Amador 强调,成功的资金回收代表了例外而不是标准结果,并指出大多数被开发的项目在初始损失之外遭受了永久性贬值。
他批评了被动的安全措施,例如黑客攻击后的漏洞赏金。
“预防总是胜过谈判。而仅在黑客攻击后才发起漏洞赏禁等反应性措施会加剧问题。
他补充说,“这不仅表明软弱或缺乏准备,而且还可能造成一场'逐底竞争',激励不足的研究人员可能会进一步利用而不是报告。
Amador 主张统一安全堆栈,集成人工智能驱动的代理,以进行持续的漏洞扫描和即时威胁检测,而不是依赖人类的监控系统。
他警告说,不足的漏洞赏金奖励和缓慢的响应计划会让合法的安全研究人员望而却步,同时有可能将警告转化为实际的攻击。
此外,7 月份的 17 起重大事件的黑客损失跃升 27.2% 至 1.42 亿美元,扭转了 6 月份的暂时下降趋势。
主要漏洞包括 CoinDCX 的 4420 万美元内部漏洞以及影响 BigONE、WOO X 和 Future Protocol 平台的各种 DeFi 协议漏洞。
2025 年上半年,通过执法行动、白帽协议和交流合作,恢复工作返还了 1.87 亿美元。
然而,净损失仍约为 22.9 亿美元,尽管部分恢复成功,但平均事故损失达到 710 万美元。
