Обяснение на хакерската атака на CoinDCX за 44 милиона долара

Пробив, който разтърси крипто сектора в Индия

CoinDCX, една от най-известните борси за криптовалути в Индия, потвърди нарушение на сигурността, довело до кражба на над... 44 милиона долара в дигитални активи. 

Експлойтът е насочен към работещ портфейл на Солана мрежа, използвана за осигуряване на ликвидност, а не портфейли на клиенти. Въпреки бързия и мащабен характер на атаката, компанията настоява, че средствата на потребителите трябва да останат недокоснати и напълно защитени.

Инцидентът беше сигнализиран за първи път не от компанията, а от следовател на блокчейн технологии. Зак XBT, който проследи подозрителни движения на средства и идентифицира компрометирания портфейл като принадлежащ на CoinDCX. Разкритието му накара CoinDCX да реагира в рамките на минути, което бе един от най-известните инциденти със сигурността на криптовалутите в Индия тази година.

Как се разгърна атаката

Според фирма за сигурност във веригата Cyvers, атаката беше добре планирана и изпълнена с прецизност. Подготовката започна още на 16 юли 2025 г. с 1 ETH, изпратен от Tornado Cash - криптовалутен миксер, често използван за прикриване на произхода на средствата. Този ETH беше депозиран във FixedFloat, изтеглен в Polygon и по-късно прехвърлен в Solana, където беше конвертиран в SOL, за да покрие таксите за транзакции.

Според Меир Долев, основател на Cyvers, до 18 юли, в 21:07 UTC, нападателят инициира тестова транзакция само с 1 USDT. След това започна истинската експлоатация. В рамките на пет минути нападателят източи приблизително 44.2 милиона долара в USDT и USDC от един от оперативните портфейли на CoinDCX в Solana.

Последователността на тегленията е следната:

• 22:09 UTC: 2 милиона долара
• 22:10: 7 милиона долара
• 22:11: 10 милиона долара
• 22:12: 10 милиона долара
• 22:13: Две отделни транзакции на стойност 5 милиона долара всяка
• 22:14: Окончателно теглене на 5 милиона долара

Минути по-късно последваха по-малки преводи, включително 102 000 USDC и 79 000 USDT. Част от откраднатите средства – 15.8 милиона долара – бяха прехвърлени от Solana към Ethereum, вероятно за диверсифициране на маршрутите и усложняване на възстановяването.

CoinDCX отговаря

Пробивът привлече общественото внимание, когато ZachXBT сподели своите открития в Telegram, което доведе до бързо потвърждение от главния изпълнителен директор на CoinDCX, Сумит Гупта. Той нарече инцидента „сложен пробив в сървъра“, който компрометира един оперативен акаунт, използван с партньорска борса.

Важно е да се отбележи, че Гупта посочен че:

• Всички потребителски активи се съхраняват в студени портфейли
• Не са засегнати средствата на клиентите
• Платформата продължава да работи нормално за търговия и тегления в INR

„Инцидентът беше бързо овладян чрез изолиране на засегнатата оперативна сметка“, подчерта Гупта. „Тъй като оперативните ни сметки са отделени от портфейлите на клиентите, експозицията е ограничена само до тази конкретна сметка и се поема изцяло от нас – от собствените ни резерви.“

Открийте обещаващи проекти...

Перспективни проекти...

(Реклама)

Статията продължава...

Мерки за сигурност и планове за възстановяване са в ход

CoinDCX заявява, че е ангажирала фирми за киберсигурност, за да разследват пробива и да проследят движението на откраднати активи. Компанията работи с неназованата партньорска борса, за да замрази средствата, където е възможно. Разработва се и програма за награди за грешки, насочена към идентифициране на уязвимости, преди нападателите да могат да ги използват.

Въпреки пробива, CoinDCX твърди, че системите ѝ са стабилни. Компанията отдавна твърди, че използва многопластова архитектура за сигурност. Средствата се разпределят между различни портфейли и попечители. 

Месечните отчети за доказателство за резерви са крайъгълен камък на политиката за прозрачност на борсата. Съществува и компенсационен фонд, предназначен да покрие потребителите в случай на извънредни ситуации, въпреки че в този случай средствата на клиентите не са били засегнати.

Основана през 2018 г., CoinDCX бързо се издигна, за да се превърне в първия крипто еднорог в Индия през 2021 г., след като набра 90 милиона долара при оценка от 1.1 милиарда долара. През 2022 г. друг кръг от 135 милиона долара почти удвои оценката ѝ до 2.15 милиарда долара.

През юли 2024 г. CoinDCX придоби базираната в Дубай BitOasis, ход, който сигнализира за намерението на компанията да стане глобална. Неотдавнашният пробив обаче хвърля сянка върху тези амбиции. 

Предупредителен момент за индийската криптовалута

Хакерската атака идва почти точно една година след колапс на WazirX, друга водеща индийска борса, която загуби 230 милиона долара заради нарушение, приписвано на севернокорейската Lazarus Group. Тази атака доведе до спирането на платформата и неуспешен план за преструктуриране, като до момента са възстановени само 3 милиона долара.

Макар че не е ясно дали хакерската атака срещу CoinDCX е свързана със същите участници, приликите са забележителни: пробив в оперативната сметка, забавено разкриване на информация и зависимост от Tornado Cash. Досега никоя национална група не е обвинена.

Проблемът с централизацията

Въпреки че CoinDCX настоява за своята стабилна архитектура, инцидентът разкрива значителна уязвимост в начина, по който централизираните борси управляват оперативните портфейли. Компрометираната сметка е била използвана единствено за ликвидност на партньорска платформа, но въпреки това е държала десетки милиони долари - достатъчно, за да привлече сложни нападатели.

Към критиките се добавя и рестриктивната политика на CoinDCX за теглене на криптовалути. Потребителите не могат да теглят средства по подразбиране. Вместо това, тегленията са разрешени само след вътрешен преглед, базиран на оценки на риска. Този централизиран контрол предизвика дебат в индийската крипто общност относно автономността и прозрачността на потребителите.

В Reddit AMA през май, Гупта защити тази политика, като заяви, че тя предотвратява незаконното движение на средства. Той също така омаловажи възможността за атака в стил WazirX срещу CoinDCX, позовавайки се на слоеве за сигурност, вътрешни одити и стандарти за съответствие. Този последен инцидент постави тези твърдения под въпрос.