CrediX Finance disparaît après une exploitation DeFi de 4,5 millions de dollars

La plateforme DeFi CrediX Finance a disparu du web à la suite d’une exploitation de 4,5 millions de dollars qui a vidé ses pools de liquidité, suscitant des soupçons d’une sortie coordonnée frauduleuse. L’incident a été signalé pour la première fois lundi par des entreprises de sécurité blockchain, qui ont découvert que les attaquants avaient pris le contrôle des portefeuilles multisig administrateurs et de pont du protocole six jours auparavant. En utilisant cet accès, ils ont frappé de nouveaux tokens, les ont déposés en garantie, puis ont siphonné la liquidité des pools de CrediX. En réponse, CrediX a immédiatement mis son site web hors ligne pour empêcher des dépôts supplémentaires. Mais quelques jours plus tard, la situation s’est aggravée. Vendredi, le compte officiel X du projet est resté silencieux, le site web est resté hors ligne et son canal Telegram a été supprimé.

Promesses non tenues de remboursement

Avant de disparaître, CrediX Finance a publié une déclaration désormais supprimée affirmant qu’elle avait négocié avec le pirate. Dans ce post, l’équipe disait que l’exploiteur avait accepté de restituer les fonds volés dans les 24 à 48 heures en échange d’un paiement provenant du trésor du protocole. CrediX a également promis de rembourser intégralement tous les utilisateurs affectés via un airdrop. Le message supprimé disait :

Négociation réussie avec l’exploiteur qui a accepté de retourner les fonds dans les prochaines 24 à 48 heures en échange d’un paiement intégral effectué par le trésor de CrediX.

Aucun remboursement n’a eu lieu. Au lieu de cela, les canaux de communication du projet ont disparu, laissant les investisseurs sans mises à jour officielles.

Stability DAO nomme des noms

L’effondrement de CrediX a suscité une inquiétude plus large dans l’écosystème DeFi. Stability DAO, indirectement affecté par l’exposition aux actifs de CrediX, est intervenu pour coordonner une réponse.

La DAO a annoncé avoir identifié deux membres de l’équipe CrediX grâce aux informations know-your-customer et les inclura dans un rapport légal officiel.

Stability DAO travaille à présent avec d’autres projets affectés, dont Sonic Labs, Euler, Beets, et Trevee, pour retracer les fonds volés et coopérer avec les forces de l’ordre et les unités de cybercriminalité. Stability DAO a déclaré :

Nos équipes collaborent pour rassembler toutes les preuves, tracer les fonds et coordonner avec les unités légales et de cybercriminalité compétentes.

Effets d’entraînement à travers la DeFi

Trevee, l’un des protocoles impactés, a déclaré avoir prêté 1,6 million de dollars à metaUSD de Stability, qui est devenu entièrement exposé à CrediX après une ruée bancaire. L’équipe a depuis réduit cette exposition à un peu plus de 700 000 dollars et a suspendu la frappe de son actif stkscUSD, fixant un nouveau prix de garantie pour stabiliser la situation.

L’incident souligne les vulnérabilités persistantes dans la DeFi, notamment autour de la sécurité des portefeuilles multisig et de la coordination hors chaîne, et soulève de nouvelles questions sur la confiance à accorder aux équipes anonymes.