CrediX atingido por hack de US$ 4,5 milhões, atacante ponte fundos para Ethereum
O projeto DeFi CrediX teria sido hackeado, com perdas estimadas em US$ 4,5 milhões. O incidente parece ser o resultado de um comprometimento de chave privada, que permitiu que o invasor obtivesse acesso não autorizado ao sistema.
A Credix parece ter tido uma falha de segurança. Estamos investigando e compartilharemos detalhes em breve
— CrediX (@CrediX_fi) 4 de agosto de 2025
CrediX atingido por exploração entre redes
Como medida de segurança, a CrediX tirou seu site do ar para bloquear novos depósitos de usuários. A empresa de segurança CertiK informou que os fundos roubados foram transferidos da rede Sonic para o Ethereum. Até agora, a carteira do atacante ainda guarda os bens roubados e não houve mais movimento.
Cyvers Alerts, uma empresa de segurança Web3, também sinalizou várias transações suspeitas na rede Sonic envolvendo CrediX. De acordo com eles, um endereço financiado via Tornado Cash no Ethereum fez a ponte de fundos para o Sonic e, em seguida, pegou emprestado cerca de US$ 2,64 milhões da CrediX.
🚨ALERTA🚨O nosso sistema detetou várias transações suspeitas na rede #Sonic envolvendo @CrediX_fi.
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) 4 de agosto de 2025
Um endereço financiado por @TornadoCash na rede #ETH fez a ponte de fundos para a rede #Sonic e pegou emprestado aproximadamente 2,64 milhões de @CrediX_fi.
A maioria destes fundos tem... pic.twitter.com/vK2y21Vhu9
Falha de acesso permite que invasor drene o pool CrediX
A empresa de segurança on-chain SlowMist observa que, seis dias antes da exploração ser detetada, o invasor foi adicionado como Admin e Bridge à Carteira CrediX Multisig usando o ACLManager. Com privilégios no nível Bridge, o invasor obteve acesso direto aos tokens colaterais da Casa da Moeda por meio do Pool CrediX.
Usando os tokens recém-cunhados, eles foram capazes de emprestar uma grande quantidade de ativos do protocolo, drenando o pool. Isso mostra o quão arriscado pode ser quando o acesso e as funções não são gerenciados adequadamente em uma configuração multisig e destaca como a segurança de governança é crítica em sistemas DeFi.
Todos os fundos dos usuários serão recuperados na íntegra dentro de 24-48 horas
— CrediX (@CrediX_fi) 4 de agosto de 2025
A CrediX garantiu aos usuários que todos os fundos serão totalmente recuperados dentro de 24 a 48 horas.
De acordo com um relatório da Hacken, as perdas com criptomoedas atingiram US$ 3,1 bilhões no primeiro semestre de 2025, e a maior parte veio de falhas na carteira multisig. Estas carteiras eram muitas vezes exploradas através de interfaces falsas e má gestão de assinantes.
O ataque mais prejudicial foi o hack Bybit de US$ 1,46 bilhão, onde os signatários foram enganados por uma interface do usuário falsificada.
Hacken pede segurança multisig em tempo real
Mais de 80% de todas as perdas com criptomoedas este ano foram causadas por falhas no controle de acesso. Hacken agora recomenda que os projetos se afastem de auditorias únicas e adotem sistemas de segurança em tempo real orientados por IA. Essas ferramentas podem rastrear a atividade da carteira multisig, detetar comportamentos anormais e fornecer tempos de resposta mais rápidos.
Hacken também aconselha que as equipes tratem os signatários e as interfaces de usuário como elementos-chave do sistema de segurança, não apenas recursos técnicos. Treinamento aprimorado, automação mais rigorosa e regras mais rígidas são necessários se as plataformas DeFi quiserem evitar ataques semelhantes no futuro.
Perguntas frequentes
O hack CrediX foi causado por um comprometimento de chave privada, permitindo que o administrador do invasor e o acesso à ponte drenassem o pool.
Sim. A CrediX garantiu aos usuários que todos os fundos roubados serão recuperados dentro de 24 a 48 horas após a exploração.
Os principais hacks de 2025 incluem US$ 400 milhões da Coinbase, US$ 220 milhões da Cetus e outros milhões de exploits da BSC, Phemex e UPCX.