CrediX é atingido por hack de US$ 4,5 milhões, atacante conecta fundos ao Ethereum
O projeto DeFi CrediX teria sido hackeado, com perdas estimadas em US$ 4,5 milhões. O incidente parece ser o resultado de um comprometimento de chave privada, que permitiu que o invasor obtivesse acesso não autorizado ao sistema.
Credix parece ter tido uma violação de segurança. Estamos investigando e compartilharemos detalhes em breve
— CrediX (@CrediX_fi) 4 de agosto de 2025
CrediX atingido por exploração entre redes
Como medida de segurança, a CrediX colocou seu site offline para bloquear depósitos de novos usuários. A empresa de segurança CertiK informou que os fundos roubados foram transferidos da rede Sonic para o Ethereum. Até agora, a carteira do invasor ainda contém os ativos roubados e não houve mais movimento.
A Cyvers Alerts, uma empresa de segurança Web3, também sinalizou várias transações suspeitas na rede Sonic envolvendo o CrediX. Segundo eles, um endereço financiado via Tornado Cash no Ethereum conectou fundos ao Sonic e, em seguida, emprestou cerca de US$ 2,64 milhões da CrediX.
🚨ALERTA🚨Nosso sistema detectou várias transações suspeitas na rede #Sonic envolvendo @CrediX_fi.
— 🚨 Alertas 🚨 Cyvers (@CyversAlerts) 4 de agosto de 2025
Um endereço financiado por @TornadoCash na rede #ETH fez a ponte entre fundos e a rede #Sonic e emprestou aproximadamente 2,64 milhões de @CrediX_fi.
A maioria desses fundos tem... pic.twitter.com/vK2y21Vhu9
Falha de acesso permite que o invasor drene o pool do CrediX
A empresa de segurança on-chain SlowMist observa que seis dias antes da exploração ser detectada, o invasor foi adicionado como Admin e Bridge à CrediX Multisig Wallet usando o ACLManager. Com privilégios no nível do Bridge, o invasor obteve acesso direto aos tokens de garantia de cunhagem por meio do CrediX Pool.
Usando os tokens recém-cunhados, eles conseguiram emprestar uma grande quantidade de ativos do protocolo, drenando o pool. Isso mostra o quão arriscado pode ser quando o acesso e as funções não são gerenciados adequadamente em uma configuração multisig e destaca como a segurança de governança é crítica em sistemas DeFi.
Todos os fundos dos usuários serão recuperados integralmente dentro de 24 a 48 horas
— CrediX (@CrediX_fi) 4 de agosto de 2025
A CrediX garantiu aos usuários que todos os fundos serão totalmente recuperados dentro de 24 a 48 horas.
De acordo com um relatório da Hacken, as perdas com criptomoedas atingiram US$ 3,1 bilhões no primeiro semestre de 2025, e a maior parte veio de falhas na carteira multisig. Essas carteiras eram frequentemente exploradas por meio de interfaces falsas e gerenciamento inadequado de assinantes.
O ataque mais prejudicial foi o hack Bybit de US$ 1,46 bilhão, em que os signatários foram enganados por uma interface de usuário falsificada.
Hacken pede segurança multisig em tempo real
Mais de 80% de todas as perdas de criptomoedas este ano foram causadas por falhas no controle de acesso. Hacken agora recomenda que os projetos se afastem de auditorias únicas e adotem sistemas de segurança orientados por IA em tempo real. Essas ferramentas podem rastrear a atividade da carteira multisig, detectar comportamentos anormais e fornecer tempos de resposta mais rápidos.
Hacken também aconselha que as equipes tratem os signatários e as interfaces de usuário como elementos-chave do sistema de segurança, não apenas recursos técnicos. Treinamento aprimorado, automação mais rígida e regras mais rígidas são necessários se as plataformas DeFi quiserem evitar ataques semelhantes no futuro.
Perguntas frequentes
O hack do CrediX foi causado por um comprometimento de chave privada, permitindo que o administrador invasor e o acesso à ponte drenassem o pool.
Sim. A CrediX garantiu aos usuários que todos os fundos roubados serão recuperados dentro de 24 a 48 horas após a exploração.
Os principais hacks de 2025 incluem US$ 400 milhões da Coinbase, US$ 220 milhões da Cetus e outros milhões de explorações da BSC, Phemex e UPCX.