4 августа 2025 года, около 12:30 по московскому времени (UTC+3), кредитная DeFi-платформа CrediX, построенная на блокчейне Sonic, стала жертвой хакерской атаки. Злоумышленники похитили криптоактивы на сумму $4.5 млн, воспользовавшись уязвимостью в системе управления доступом.
Апдейт (8 августа 2025)
После взлома CrediX на $4.5 млн, произошедшего 4 августа 2025 года, команда платформы заявила о соглашении с хакером о возврате средств в течение 24–48 часов через airdrop. Однако с тех пор ситуация выглядит следующим образом:
-
Аккаунт CrediX в X (@CrediX_fi)* неактивен;
-
Веб-сайт платформы остается офлайн с 4 августа;
-
Telegram-канал удален, обновлений о возврате средств нет;
-
Часть украденных активов переведена в Tornado Cash, что затрудняет их отслеживание.
По данным CertiK и CoinDesk, эти признаки указывают на возможный exit scam ( мошенничество с выходом), когда команда исчезает с пользовательскими средствами. Пользователи в Telegram-группе CrediX сообщают о проблемах с выводом активов и отсутствии связи с командой. КоинКит продолжает отслеживать движение средств и обновит информацию по мере поступления.
*Х (Twitter) — запрещенная на территории РФ социальная сеть
В заявлении CrediX 4 августа говорится:
Сообщение №1: «Похоже, в CreditX произошло нарушение безопасности. Мы расследуем инцидент и скоро предоставим детали»
Сообщение №2: «Веб-сайт отключён, чтобы предотвратить новые депозиты. Для вывода средств используйте контракты напрямую»
Сообщение №3: «Все средства пользователей будут полностью возвращены в течение 24-48 часов»
Сообщение №4: «У нас хорошие новости для пользователей. Мы достигли успешной договорённости со злоумышленником, который согласился вернуть средства в течение следующих 24-48 часов в обмен на полную выплату вознаграждения из казначейства CreditX. У нас есть адреса всех пострадавших пользователей, и мы проведём аирдроп их доли активов в указанные сроки. Приносим извинения за сложившуюся ситуацию и причинённые неудобства сообществу Sonic и нашим пользователям»
Команда КоинКит провела свое собственное крипторасследование. Раскрываем детали атаки: куда делись украденные активы и как злоумышленник использовал административные привилегии для манипуляций с токенами и вывода активов.
Аналитик криптовалютных краж из команды КоинКит подчеркивает: «Инцидент явно указывает на системные проблемы DeFi-протоколов, связанные с управлением доступом и мультисигнатурными кошельками»
Как произошел взлом?
Атака на CrediX была тщательно спланирована и реализована через компрометацию административного аккаунта. Вот ключевые этапы:
1. Компрометация аккаунта
Злоумышленник получил контроль над учетной записью администратора. Этот аккаунт обладал расширенными правами, включая роли POOL_ADMIN, ASSET_LISTING_ADMIN, EMERGENCY_ADMIN, RISK_ADMIN и, что стало решающим, BRIDGE.
2. Добавление в мультисиг
За шесть дней до атаки, как выяснила SlowMist, адрес злоумышленника был добавлен в мультисигнатурный кошелек CrediX через ACLManager с ролями Admin и BRIDGE. Это позволило хакеру действовать легитимно в рамках системы, не вызывая подозрений.
3. Манипуляция с токенами
Используя роль BRIDGE, злоумышленник выпустил необеспеченные токены acUSDC (синтетический токен платформы, предположительно привязанный к USDC). Эти токены не имели реального обеспечения, но использовались как коллатерал для заимствования реальных активов из пулов ликвидности CrediX.
4. Опустошение пулов
С помощью поддельных токенов хакер занял активы на сумму $2.64 млн из пулов ликвидности, а затем вывел дополнительные средства, доведя общий ущерб до $4.5 млн. После этого средства были быстро переведены с блокчейна Sonic на Ethereum для дальнейшего сокрытия следов.
5. Сокрытие следов
Часть украденных активов была отправлена через Tornado Cash, анонимизирующий сервис, что значительно затрудняет их отслеживание. Остальные средства остались на адресах, контролируемых злоумышленником.
Движение украденных средств
В этом материале командой аналитиков КоинКит будут рассмотрены визуализации в ETH, связанные со взломом Credix.
Адрес 1: 0xc4662b3313333d18a3f49aee24972185114150b6
С криптовалютно адреса 0xc4662…50b6 2 было отправлено 20 eth на торнадо, через неизвестные промежуточные адреса, возможно связанные с хакером.
Адрес 2: 0xf321683831be16eed74dfa58b02a37483cec662e
Также известно, что криптовалютного адреса 0xf3216…662e 123,69599933 eth было отправлено на адрес, владелец которого неизвестен. Владелец этого адреса не идентифицирован, но, вероятно, он связан с хакером. Средства находятся на внешнем адресе, дальнейшее движение не зафиксировано.
Адрес 3: 0xea39a99090d7f8f7f8f9a88dd730c452dcd6dbba
Еще на одном адреса злоумышленника 0xea39…6dbba никаких исходящих транзакций не зафиксировано. Все активы остаются на этом адресе на момент написания материала.
Полная картина движения средств на 3 известных хакерских адресах, связанных со взломом CrediX:
Известные адреса злоумышленников
По данным анализа движения украденных средств, были идентифицированы следующие адреса, принадлежащие или контролируемые злоумышленниками:
В Ethereum (ETH):
- 0xc4662b3313333d18a3f49aee24972185114150b6
- 0xf321683831be16eed74dfa58b02a37483cec662e
- 0xea39a99090d7f8f7f8f9a88dd730c452dcd6dbba
Итог
Взлом CrediX — это не просто единичный инцидент, а симптом более широкой проблемы в DeFi: слабого управления доступом и недостаточного внимания к безопасности на этапе запуска протоколов.
В подобных инцидентах опасность для пользователей кроется в последствиях — распространение украденной криптовалюты. Чтобы избежать попадания высокорискованных депозитов на ваши кошельки, используйте специализированные AML-сервисы, которые ведут актуальную базу мошенников и показывают связи адреса со всеми известными участниками рынка, а также оценивают их Risk Score.
Статья несет исключительно информационный характер и представляет фактическую и аналитическую информацию о конкретном инциденте безопасности в сфере криптовалют.
