Wyjaśnienie ataku hakerskiego na CoinDCX, który kosztował 44 mln dolarów

Naruszenie, które wstrząsnęło indyjskim sektorem kryptowalut

CoinDCX, jedna z najpopularniejszych giełd kryptowalut w Indiach, potwierdziła naruszenie bezpieczeństwa, które doprowadziło do kradzieży ponad $ 44 mln w aktywach cyfrowych. 

Atak miał na celu wykorzystanie operacyjnego portfela Solana sieć służąca do zapewniania płynności, a nie portfele klientów. Pomimo szybkiego i masowego charakteru ataku, firma zapewnia, że ​​środki użytkowników pozostają nietknięte i w pełni bezpieczne.

Incydent został po raz pierwszy zgłoszony nie przez firmę, lecz przez badacza blockchain Zach XBT, który śledził podejrzane przepływy środków i zidentyfikował zainfekowany portfel jako należący do CoinDCX. Jego ujawnienie wymusiło reakcję CoinDCX w ciągu kilku minut, co stanowiło jeden z najgłośniejszych incydentów bezpieczeństwa kryptowalut w Indiach w tym roku.

Jak przebiegał atak

Według firmy zajmującej się bezpieczeństwem łańcuchowym CyversAtak był dobrze zaplanowany i przeprowadzony z precyzją. Atak rozpoczął się już 16 lipca 2025 roku, kiedy 1 ETH został wysłany z Tornado Cash – miksera kryptowalut często wykorzystywanego do ukrywania pochodzenia funduszy. Ten ETH został zdeponowany na FixedFloat, wypłacony na Polygon, a następnie przeniesiony na Solana, gdzie został przekonwertowany na SOL w celu pokrycia opłat transakcyjnych.

Zgodnie z Meir Dolev, założyciel Cyvers, 18 lipca o godzinie 21:07 UTC atakujący zainicjował transakcję testową z zaledwie 1 USDT. Wtedy rozpoczął się prawdziwy atak. W ciągu pięciu minut atakujący wypłacił około 44.2 miliona dolarów w USDT i USDC z jednego z operacyjnych portfeli CoinDCX na platformie Solana.

Kolejność wypłat jest następująca:

• 22:09 UTC: 2 miliony dolarów
• 22:10: 7 milionów dolarów
• 22:11: 10 milionów dolarów
• 22:12: 10 milionów dolarów
• 22:13: Dwie oddzielne transakcje po 5 milionów dolarów każda
• 22:14: Ostateczna wypłata 5 milionów dolarów

Kilka minut później nastąpiły mniejsze przelewy, w tym 102 000 USDC i 79 000 USDT. Część skradzionych środków – 15.8 miliona dolarów – została przelana z Solany na Ethereum, prawdopodobnie w celu dywersyfikacji tras i utrudnienia odzyskiwania.

CoinDCX odpowiada

Wyciek danych ujrzał światło dzienne, gdy ZachXBT udostępnił swoje ustalenia na Telegramie, co spotkało się z natychmiastowym potwierdzeniem ze strony prezesa CoinDCX, Sumita Gupty. Nazwał on incydent „wyrafinowanym włamaniem na serwer”, które naruszyło bezpieczeństwo pojedynczego konta operacyjnego używanego na giełdzie partnerskiej.

Co ważne, Gupta stwierdził, że:

• Wszystkie zasoby użytkowników są przechowywane w zimnych portfelach
• Środki żadnego klienta nie zostały naruszone
• Platforma nadal działa normalnie w celu handlu i wypłat w rupiach indyjskich

„Incydent został szybko opanowany poprzez odizolowanie dotkniętego nim konta operacyjnego” – podkreślił Gupta. „Ponieważ nasze konta operacyjne są oddzielone od portfeli klientów, ryzyko jest ograniczone tylko do tego konkretnego konta i jest w pełni absorbowane przez nas – z naszych własnych rezerw skarbowych”.

Odkryj obiecujące projekty...

Obiecujące projekty...

(Reklama)

Artykuł ciąg dalszy...

Trwają prace nad środkami bezpieczeństwa i planami odbudowy

CoinDCX poinformował, że zaangażował firmy zajmujące się cyberbezpieczeństwem w celu zbadania naruszenia i śledzenia przepływu skradzionych aktywów. Firma współpracuje z giełdą partnerską, której nazwy nie podano, w celu zamrożenia funduszy, gdzie to możliwe. Trwają również prace nad programem nagród za wykrycie błędów, mającym na celu identyfikację luk w zabezpieczeniach, zanim atakujący będą mogli je wykorzystać.

Pomimo naruszenia, CoinDCX utrzymuje, że jego systemy są solidne. Firma od dawna deklaruje, że stosuje wielowarstwową architekturę bezpieczeństwa. Środki są dystrybuowane do różnych portfeli i depozytariuszy. 

Miesięczne raporty potwierdzające rezerwy (proof-of-reserve) stanowią podstawę polityki przejrzystości giełdy. Istnieje również fundusz kompensacyjny, który ma chronić użytkowników w nagłych wypadkach – chociaż w tym przypadku środki klientów nie zostały naruszone.

Założony w 2018 roku CoinDCX szybko się rozwinął, stając się pierwszym indyjskim kryptowalutowym jednorożcem w 2021 roku, po zebraniu 90 milionów dolarów przy wycenie 1.1 miliarda dolarów. W 2022 roku kolejna runda finansowania w wysokości 135 milionów dolarów niemal podwoiła jego wycenę do 2.15 miliarda dolarów.

W lipcu 2024 roku CoinDCX przejął dubajską firmę BitOasis, co zasygnalizowało zamiar firmy ekspansji globalnej. Jednak niedawne naruszenie bezpieczeństwa danych rzuciło cień na te ambicje. 

Przestroga dla indyjskiego rynku kryptowalut

Do ataku hakerskiego doszło niemal dokładnie rok po upadek WazirX, innej czołowej indyjskiej giełdy, która straciła 230 milionów dolarów w wyniku naruszenia bezpieczeństwa przypisywanego północnokoreańskiej grupie Lazarus. Atak doprowadził do zamknięcia platformy i nieudanego planu restrukturyzacji, z którego do tej pory odzyskano jedynie 3 miliony dolarów.

Chociaż nie jest jasne, czy atak na CoinDCX jest powiązany z tymi samymi sprawcami, podobieństwa są znaczące: naruszenie bezpieczeństwa konta operacyjnego, opóźnione ujawnienie informacji i uzależnienie od Tornado Cash. Jak dotąd nie obwiniono żadnej grupy reprezentującej państwo.

Problem centralizacji

Chociaż CoinDCX podkreśla swoją solidną architekturę, incydent ujawnia istotną lukę w sposobie, w jaki scentralizowane giełdy zarządzają portfelami operacyjnymi. Zhakowane konto było wykorzystywane wyłącznie do obsługi płynności na platformie partnerskiej, a mimo to znajdowały się na nim dziesiątki milionów dolarów – wystarczająco dużo, by przyciągnąć uwagę wyrafinowanych atakujących.

Krytykę potęguje restrykcyjna polityka wypłat kryptowalut CoinDCX. Użytkownicy domyślnie nie mogą wypłacać środków. Zamiast tego wypłaty są dozwolone dopiero po wewnętrznej weryfikacji, opartej na ocenie ryzyka. Ta scentralizowana kontrola wywołała debatę w indyjskiej społeczności kryptowalutowej na temat autonomii i przejrzystości użytkowników.

W majowym AMA na Reddicie Gupta bronił tej polityki, twierdząc, że zapobiega ona nielegalnemu przepływowi funduszy. Zbagatelizował również możliwość ataku na CoinDCX w stylu WazirX, powołując się na poziomy bezpieczeństwa, audyty wewnętrzne i standardy zgodności. Ostatni incydent poddał te twierdzenia w wątpliwość.