Объяснение взлома CoinDCX на 44 миллиона долларов

Утечка, которая потрясла индийский криптосектор

CoinDCX, одна из крупнейших криптовалютных бирж Индии, подтвердила нарушение безопасности, которое привело к краже более 44 миллионов долларов США в цифровых активах. 

Атака была направлена ​​на операционный кошелек на Solana Для предоставления ликвидности используется сеть, а не кошельки клиентов. Несмотря на быстроту и масштабность атаки, компания настаивает на том, что средства пользователей остаются нетронутыми и в полной безопасности.

Инцидент был впервые выявлен не компанией, а блокчейн-исследователем. Зак XBT, который отслеживал подозрительные движения средств и определил, что взломанный кошелёк принадлежит CoinDCX. Его сообщение о краже заставило CoinDCX отреагировать в течение нескольких минут, что стало одним из самых громких инцидентов, связанных с безопасностью криптовалют в Индии в этом году.

Как разворачивалась атака

По данным сетевой охранной фирмы СайверсАтака была тщательно спланирована и выполнена с точностью. Атака началась ещё 16 июля 2025 года с отправки 1 ETH из Tornado Cash — криптовалютного миксера, часто используемого для сокрытия происхождения средств. Этот ETH был зачислен на FixedFloat, выведен на Polygon, а затем переведён в Solana, где был конвертирован в SOL для покрытия комиссий за транзакции.

Согласно Меир ДолевОснователь Cyvers, 18 июля в 21:07 UTC, инициировал тестовую транзакцию всего с 1 USDT. Затем началась настоящая атака. В течение пяти минут злоумышленник слил около 44.2 млн долларов США в USDT и USDC с одного из операционных кошельков CoinDCX на Solana.

Последовательность вывода средств следующая:

• 22:09 UTC: 2 миллиона долларов
• 22:10: 7 миллионов долларов
• 22:11: 10 миллионов долларов
• 22:12: 10 миллионов долларов
• 22:13: Две отдельные транзакции по 5 миллионов долларов каждая
• 22:14: Окончательный вывод 5 миллионов долларов

Через несколько минут последовали переводы меньшего размера, включая 102,000 79,000 USDC и 15.8 XNUMX USDT. Часть украденных средств — XNUMX млн долларов США — была переведена из Solana в Ethereum, возможно, для диверсификации маршрутов и усложнения процесса возврата средств.

CoinDCX отвечает

Утечка привлекла внимание общественности, когда ZachXBT поделился своими выводами в Telegram, что вызвало быстрое подтверждение со стороны генерального директора CoinDCX Сумита Гупты. Он назвал инцидент «сложным взломом сервера», в результате которого был скомпрометирован единственный операционный аккаунт, используемый на партнёрской бирже.

Важно, что Гупта заявил , что:

• Все активы пользователей хранятся в холодных кошельках.
• Средства клиентов не пострадали.
• Платформа продолжает работать в обычном режиме для торговли и вывода INR.

«Инцидент был быстро локализован благодаря изоляции пострадавшего операционного счёта», — подчеркнул Гупта. «Поскольку наши операционные счета отделены от клиентских кошельков, ущерб ограничивается только этим конкретным счётом и полностью покрывается нами — из наших собственных казначейских резервов».

Откройте для себя перспективные проекты...

Перспективные проекты...

(Рекламное объявление)

Продолжение статьи...

Меры безопасности и планы восстановления в процессе реализации

CoinDCX сообщает, что привлекла компании, специализирующиеся на кибербезопасности, для расследования инцидента и отслеживания перемещения украденных активов. Компания сотрудничает с неназванной биржей-партнером, чтобы заморозить средства там, где это возможно. Также разрабатывается программа вознаграждения за найденные уязвимости, направленная на выявление уязвимостей до того, как злоумышленники смогут ими воспользоваться.

Несмотря на взлом, CoinDCX утверждает, что её системы надёжны. Компания давно заявляет об использовании многоуровневой архитектуры безопасности. Средства распределены по разным кошелькам и у разных кастодианов. 

Ежемесячные отчёты о подтверждении резерва являются краеугольным камнем политики прозрачности биржи. Также существует компенсационный фонд, предназначенный для защиты пользователей в случае чрезвычайных ситуаций, хотя в данном случае средства клиентов не пострадали.

Основанная в 2018 году, компания CoinDCX быстро выросла и в 2021 году стала первым индийским крипто-единорогом, собрав $90 млн при оценке в $1.1 млрд. В 2022 году ещё один раунд инвестиций в размере $135 млн почти удвоил оценку компании, доведя её до $2.15 млрд.

В июле 2024 года CoinDCX приобрела дубайскую компанию BitOasis, что стало сигналом о намерении компании выйти на международный уровень. Однако недавняя утечка данных бросает тень на эти амбиции. 

Предостерегающий момент для индийской криптовалюты

Взлом произошел почти ровно через год после крах WazirX, ещё одной ведущей индийской биржи, которая потеряла 230 миллионов долларов из-за взлома, приписываемого северокорейской Lazarus Group. Эта атака привела к закрытию платформы и провалу плана реструктуризации, при этом на сегодняшний день удалось восстановить лишь 3 миллиона долларов.

Хотя неясно, связаны ли взлом CoinDCX с теми же злоумышленниками, сходство очевидно: взлом операционного счёта, задержка с раскрытием информации и зависимость от Tornado Cash. Пока ни одна государственная организация не была обвинена.

Проблема централизации

Хотя CoinDCX настаивает на своей надёжной архитектуре, инцидент выявил серьёзную уязвимость в управлении операционными кошельками централизованных бирж. Взломанный счёт использовался исключительно для обеспечения ликвидности на партнёрской платформе, однако на нём хранились десятки миллионов долларов — достаточно, чтобы привлечь искушённых злоумышленников.

Критику усиливает ограничительная политика CoinDCX по выводу криптовалюты. Пользователи не могут вывести средства по умолчанию. Вывод средств разрешен только после внутренней проверки, основанной на оценке рисков. Этот централизованный контроль вызвал споры в индийском криптосообществе по поводу автономии пользователей и прозрачности.

В мае в сессии вопросов и ответов на Reddit Гупта защищал эту политику, утверждая, что она предотвращает незаконное перемещение средств. Он также преуменьшил вероятность атаки на CoinDCX по образцу WazirX, сославшись на уровни безопасности, внутренние аудиты и стандарты соответствия. Последний инцидент заставил пересмотреть эти заявления.