CrediX golpeado por un hackeo de $ 4.5 millones, el atacante une fondos a Ethereum
Según los informes, el proyecto DeFi CrediX ha sido pirateado, con pérdidas estimadas en USD 4.5 millones. El incidente parece ser el resultado de un compromiso de clave privada, que permitió al atacante obtener acceso no autorizado al sistema.
Credix parece haber tenido una brecha de seguridad. Estamos investigando y compartiremos detalles pronto
— CrediX (@CrediX_fi) 4 de agosto de 2025
CrediX golpeado por un exploit entre redes
Como medida de seguridad, CrediX ha desconectado su sitio web para bloquear los depósitos de nuevos usuarios. La firma de seguridad CertiK informó que los fondos robados se trasladaron de la red Sonic a Ethereum. Hasta ahora, la billetera del atacante todavía contiene los activos robados y no ha habido más movimiento.
Cyvers Alerts, una empresa de seguridad Web3, también señaló múltiples transacciones sospechosas en la red Sonic que involucraban a CrediX. Según ellos, una dirección financiada a través de Tornado Cash en Ethereum conectó fondos a Sonic, y luego pidió prestados alrededor de 2,64 millones de dólares a CrediX.
🚨ALERTA🚨Nuestro sistema ha detectado múltiples transacciones sospechosas en la red #Sonic que involucran @CrediX_fi.
— 🚨 Alertas 🚨 de Cyvers (@CyversAlerts) 4 de agosto de 2025
Una dirección financiada por @TornadoCash en la red #ETH unió fondos a la red #Sonic y tomó prestados aproximadamente 2,64 millones de @CrediX_fi.
La mayoría de estos fondos han... pic.twitter.com/vK2y21Vhu9
La falla de acceso permite al atacante drenar la piscina de CrediX
La firma de seguridad en cadena SlowMist señala que seis días antes de que se detectara el exploit, el atacante se agregó como administrador y puente a la billetera CrediX Multisig utilizando ACLManager. Con privilegios de nivel Bridge, el atacante obtuvo acceso directo a acuñar tokens de garantía a través de CrediX Pool.
Usando los tokens recién acuñados, pudieron tomar prestada una gran cantidad de activos del protocolo, lo que finalmente agotó el grupo. Esto muestra lo arriesgado que puede llegar a ser cuando el acceso y los roles no se gestionan adecuadamente en una configuración multifirma, y destaca lo crítica que es la seguridad de la gobernanza en los sistemas DeFi.
Todos los fondos de los usuarios se recuperarán en su totalidad dentro de las 24-48 horas
— CrediX (@CrediX_fi) 4 de agosto de 2025
CrediX ha asegurado a los usuarios que todos los fondos se recuperarán por completo en un plazo de 24 a 48 horas.
Según un informe de Hacken, las pérdidas de criptomonedas alcanzaron los USD 3.1 mil millones en la primera mitad de 2025, y la mayor parte provino de fallas en las billeteras multisig. Estas billeteras a menudo se explotaban a través de interfaces falsas y una mala gestión de los firmantes.
El ataque más dañino fue el hackeo de Bybit de $ 1.46 mil millones, donde los firmantes fueron engañados por una interfaz de usuario falsificada.
Hacken insta a la seguridad multifirma en tiempo real
Más del 80% de todas las pérdidas de criptomonedas de este año fueron causadas por fallas en el control de acceso. Hacken ahora recomienda que los proyectos se alejen de las auditorías únicas y adopten sistemas de seguridad en tiempo real impulsados por IA. Estas herramientas pueden rastrear la actividad de la billetera multisig, detectar comportamientos anormales y proporcionar tiempos de respuesta más rápidos.
Hacken también aconseja que los equipos traten a los firmantes y las interfaces de usuario como elementos clave del sistema de seguridad, no solo como características técnicas. Es necesario mejorar la capacitación, una automatización más estricta y reglas más estrictas si las plataformas DeFi quieren evitar ataques similares en el futuro.
Preguntas Frecuentes
El hackeo de CrediX fue causado por un compromiso de clave privada, lo que permitió al administrador atacante y el acceso al puente para drenar el grupo.
Sí. CrediX ha asegurado a los usuarios que todos los fondos robados se recuperarán dentro de las 24 a 48 horas posteriores al exploit.
Los principales hackeos de 2025 incluyen 400 millones de dólares de Coinbase, 220 millones de dólares de Cetus y millones más de exploits de BSC, Phemex y UPCX.