黑客利用 Sonic 链上的 264 万美元闪电贷漏洞攻击 CrediX，骗取 20 万美元

CrediX 是 Sonic 链上的一款小型借贷应用，在一笔 260 万美元的闪电贷中损失了高达 20 万美元的流动性。该钱包的资金来自 Tornado Cash，后来这些资金被桥接到了 Ethereum。 

CrediX 在链上调查人员拦截了未经授权的提现后，其网站被锁定。CrediX 是 Sonic 平台上的一项小型借贷协议，在一笔 264 万美元的闪电贷事件后，其流动性损失了约 20 万美元。 

这次攻击立即被 Cyvers Alerts 拦截，并注意到攻击者的钱包由 Tornado Cash资助。 

#Sonic上检测到涉及@CrediX_fi。

#ETH上@Tornado Cash资助的地址将资金桥接到#Sonic@CrediX_fi借入约 264 万美元。

这些基金大多有…… pic.twitter.com/vK2y21Vhu9

— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) 2025 年 8 月 4 日

黑客利用漏洞后，将资金发送到一个Ethereum地址，可能是为了进行混合或交易。这种策略与朝鲜攻击者，后者通常将资金桥接到Ethereum，以便于转移和流动性。

CrediX 已禁用存款

Sonic 链目前仍然安全，但 CrediX 尚未澄清此次攻击的具体原因。这家借贷初创公司宣布已关闭存款功能，以避免进一步的攻击。 

网站已停用，以阻止用户存款。请使用trac提现

— CrediX (@CrediX_fi) 2025年8月4日

然而，进一步调查显示，这笔闪电贷并不面向普通用户。相反，攻击者设法获取了多重签名钱包的管理员访问权限，从而控制了桥接功能。 

尽管最初未经授权的提现金额很小，但攻击者设法铸造了高达 450 万美元的未经授权的桥接 USDC 代币。攻击者铸造了抵押代币，从而创建了一笔贷款。这笔贷款的规模远超可用的流动性，实际上耗尽了协议的资金池。 

据 SlowMist 称，攻击者六天前就已做好准备，获取管理员权限。虽然该协议的流动性不足以应对大规模黑客攻击，但无需存款即可铸造代币的能力，让黑客在贷款时拥有了更大的回旋余地。

CrediX 扩大了一系列小规模攻击

CrediX 是一个相对较小的借贷协议，仅锁定 219.64 SOL。该项目旨在随着基于 Solana的借贷业务的扩张而加速增长。受攻击的版本完全支持 Sonic，为小规模用户提供 P2P 借贷服务。 

此次相对小规模的黑客攻击是继对 SuperRare 的攻击，该攻击通过利用不常用的智能合约trac了。

针对 CrediX 的攻击表明，当黑客找到耗尽其剩余流动性的方法时，即使是小型且相对不知名的协议也不安全。  

CrediX 协议表现出极其有限的活动，剩余资金大部分被锁定在 USDC 代币中。

此次攻击发生时，Sonic 桥接通常非常活跃。Sonic 链的日活跃用户约为 2 万，在上线后的炒作之后，其日活跃用户数量已降至较低水平。Sonic 的总锁定价值也大幅下滑，从约 10 亿美元降至4.39 亿美元。

Sonic 区块链在 5 月份也遭遇了类似的黑客攻击，预言机错误定价导致 Vicuna Finance 70 万美元未经授权的资金流出。Sonic 也引发了人们对其前身 Fantom 命运重演的担忧。Fantom 曾被黑客盗取 2 亿美元，并损失了大部分交易量，后来更名为 Sonic L2 链。

想要您的项目在加密货币的顶级思想面前吗？在我们的下一个行业报告中，数据符合影响。