CrediX 在 Sonic 链上遭遇漏洞攻击，导致 264 万美元闪电贷损失。

CrediX是Sonic链上一个规模较小的借贷应用，因一笔260万美元的闪电贷损失了高达20万美元的流动性。该钱包的资金来自Tornado Cash，之后通过桥接转移到了 Ethereum。. 

CrediX在链上调查人员拦截到未经授权的提款后锁定了其网站。Sonic上的一个小型借贷协议，在一次264万美元的闪电贷事件后损失了约20万美元的流动性。. 

攻击立即被 Cyvers Alerts 拦截，并注意到攻击者的钱包资金来自 Tornado Cash。. 

🚨警报🚨我们的系统检测到 #Sonic 网络上有多笔涉及 @CrediX_fi 的可疑交易。

由@TornadoCash 在#ETH网络上资助的一个地址将资金桥接到#Sonic网络，并从 @CrediX_fi 借款约 264 万美元。

这些资金大部分都…… pic.twitter.com/vK2y21Vhu9

— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) 2025年8月4日

黑客利用漏洞后，将资金发送到一个 Ethereum 地址，可能是为了进行混币或交易。这种策略让人联想到 朝鲜攻击者，他们通常会将资金转移到 Ethereum ，以便更方便地进行转账和提高流动性。 

CrediX 已禁用存款

Sonic 链目前仍然安全，但 CrediX 尚未澄清此次漏洞利用的确切原因。这家借贷初创公司宣布，为避免进一步攻击，其存款功能已暂停使用。. 

https://twitter.com/CrediX_fi/status/1952297149418647734

然而，进一步调查显示，闪电贷并不对普通用户开放。攻击者反而设法获取了多重签名钱包的管理员权限，从而控制了桥接功能。. 

尽管最初的未经授权提款金额较小，但攻击者还是成功铸造了价值高达 450 万美元的未经授权的桥接 USDC 代币。攻击者铸造了抵押代币，从而创建了一笔贷款。这笔贷款的规模远超可用流动性，实际上耗尽了协议的流动性池。. 

据SlowMist称，攻击者六天前就已做好准备，获取 管理员权限 。虽然该协议的流动性不足以应对大规模攻击，但其无需存款即可铸造代币的特性，使得黑客在借贷时拥有更大的操作空间。 

CrediX 扩展了一系列小规模攻击

CrediX 是一个规模相对较小的借贷协议，仅锁定 219.64 个 SOL。该项目旨在随着基于 Solana借贷业务的扩张而发展壮大。遭受攻击的版本完全支持 Sonic 平台，为小规模用户提供 P2P 借贷服务。. 

规模相对较小的黑客攻击接踵而至 在 SuperRare 遭到攻击之后利用一个不常用的 智能合约trac窃取。

对 CrediX 的攻击表明，即使是规模较小、相对不为人知的协议，当黑客找到办法耗尽其剩余流动性时，也并非安全无虞。.  

CrediX 协议的活动极其有限 ，剩余资金大部分都锁定在 USDC 代币中。 

此次攻击发生时，Sonic 桥接服务正处于活跃高峰期。Sonic 区块链的日活跃用户约为 2 万，在上线初期的热潮过后，用户数量已降至较低水平。Sonic 的总锁定价值也从约 10 亿美元下滑至 4.39 亿美元。

Sonic连锁店在5月份也遭遇了类似的黑客攻击，由于预言机定价错误，导致Vicuna Finance未经授权的70万美元资金流出。Sonic的遭遇也引发了人们对其前身Fantom重蹈覆辙的担忧。Fantom曾被黑客攻击损失2亿美元，并失去了大部分交易量，之后重组为Sonic L2连锁店。.