Un hacker ataca CrediX y le exige $200,000 después de que se le explotara un préstamo flash de $2.64 millones en la cadena Sonic.

CrediX, una de las aplicaciones de préstamos más pequeñas de la cadena Sonic, perdió hasta $200,000 en liquidez debido a un préstamo flash de $2.6 millones. La billetera se financió con Tornado Cashy los fondos se transfirieron posteriormente a Ethereum. 

CrediX cerró su sitio web después de que investigadores en cadena interceptaran retiros no autorizados. Un protocolo de préstamos menor en Sonic, perdió alrededor de $200,000 en liquidez tras un préstamo flash fraudulento de $2.64 millones. 

El ataque fue interceptado inmediatamente por Cyvers Alerts, notando que la billetera del atacante estaba financiada con Tornado Cash. 

🚨ALERTA🚨Nuestro sistema ha detectado múltiples transacciones sospechosas en la red #Sonic a @CrediX_fi .

Una dirección financiada por @Tornado Cash en la #ETH transfirió fondos a la #Sonic y tomó prestados aproximadamente 2,64 millones de @CrediX_fi .

La mayoría de estos fondos tienen… pic.twitter.com/vK2y21Vhu9

— 🚨 Alertas Cyvers 🚨 (@CyversAlerts) 4 de agosto de 2025

Tras el exploit, el hacker envió los fondos a una Ethereum , posiblemente para prepararlos para su mezcla o intercambio. Esta táctica ha sido comparada con ataques similares de la RPDC , quienes suelen transferir fondos a Ethereum para facilitar las transferencias y obtener liquidez.

Depósitos deshabilitados de CrediX

La cadena Sonic se mantiene segura, pero CrediX aún no ha aclarado el motivo exacto del exploit. La startup de préstamos anunció el cierre de sus depósitos para evitar nuevos ataques. 

El sitio web ha sido deshabilitado para evitar que los usuarios depositen. Utilice lostracpara retirar.

— CrediX (@CrediX_fi) 4 de agosto de 2025

Sin embargo, una investigación más profunda reveló que el préstamo flash no estaba disponible para el público general. El explotador, en cambio, logró obtener acceso de administrador a una billetera multifirma, lo que le permitió controlar la función de puente. 

Aunque los retiros iniciales no autorizados fueron pequeños, el atacante logró acuñar hasta $4.5 millones en tokens USDC puente no autorizados. El atacante acuñó tokens colaterales, lo que permitió la creación de un préstamo. El préstamo fue descomunal en comparación con la liquidez disponible, agotando así el fondo del protocolo. 

Según SlowMist, el atacante se preparó hace seis días obteniendo acceso de administrador a una de las billeteras multifirma de la plataforma de préstamos. Si bien el protocolo no contaba con suficiente liquidez para un ataque importante, la capacidad de acuñar tokens sin respaldo de depósito le brindó al hacker un margen de maniobra mucho mayor al solicitar un préstamo.

CrediX amplía su serie de ataques a pequeña escala

CrediX es un protocolo de préstamos relativamente pequeño, con un límite de solo 219,64 SOL. El proyecto busca impulsar su crecimiento a medida que se expanden los préstamos basados en Solana. La versión atacada es totalmente compatible con Sonic y ofrece préstamos P2P entre pequeños usuarios. 

de escala relativamente pequeña siguieron al ataque a SuperRare , que se llevó 730.000 dólares al explotar un trac inteligente .

El ataque contra CrediX muestra que incluso los protocolos pequeños y relativamente oscuros no son seguros cuando los piratas informáticos encuentran una forma de drenar su liquidez restante.  

El protocolo CrediX ha mostrado una actividad , con la mayoría de los fondos restantes bloqueados en tokens USDC.

El ataque ocurrió en un momento en que el puenteo de Sonic era generalmente muy activo. La cadena Sonic registra alrededor de 20 000 usuarios activos diarios, cifra que se ha reducido a un nivel inferior tras el revuelo generado por su lanzamiento. El valor total bloqueado de Sonic también ha disminuido, de aproximadamente 1 000 millones de dólares a 439 000 millones de dólares .

La cadena Sonic sufrió un ataque similar en mayo, donde una manipulación de precios en un oráculo provocó una salida no autorizada de $700,000 de Vicuna Finance. Sonic también ha generado temores de que se repita el destino de Fantom, su versión anterior. Fantom fue atacada por $200 millones y perdió la mayor parte de su volumen, reinventándose posteriormente como la cadena Sonic L2.

¿Quieres tu proyecto frente a las mentes de Crypto's Top? Lo presenta en nuestro próximo informe de la industria, donde los datos se encuentran con el impacto.