Вход

Как хакеры украли $44 млн из CoinDCX, не касаясь кошельков пользователей

"Самые опасные атаки — это те, которые не затрагивают пользовательские кошельки. Они разрушают доверие к самой инфраструктуре." — Алекс Тапскотт, эксперт по блокчейну и цифровым активам

В июле 2025 года произошёл один из самых масштабных инцидентов в истории индийского крипторынка: хакеры похитили $44,2 миллиона у крупнейшей криптовалютной биржи Индии — CoinDCX. Что делает этот случай особенно тревожным, так это то, что кошельки пользователей не были затронуты. Взлом произошёл не через клиентские аккаунты, а через внутренний операционный кошелёк, используемый для обеспечения ликвидности.

Инцидент, связанный с атакой северокорейской хакерской группировки Lazarus Group, стал ярким примером того, как даже при наличии надёжной системы безопасности, уязвимости в операционной инфраструктуре могут привести к катастрофическим последствиям.

🔐 Как хакеры проникли в систему CoinDCX?

Атака была проведена с военной точностью в период с 16 по 19 июля 2025 года. По данным отчётности биржи, злоумышленники получили доступ к внутреннему кошельку, отвечающему за ликвидность, путём проникновения в инфраструктуру обеспечения ликвидности.

Ключевые этапы атаки:

  • Разведка: 16 июля хакеры провели тестовую транзакцию на 1 USDT, чтобы проверить реакцию системы;
  • Получение доступа: Вероятно, через утечку учётных данных или эксплуатацию уязвимости в бэкенде;
  • Финансирование атаки: Один из кошельков атакующих был пополнен на 1 ETH через Tornado Cash — сервис для отмывания криптовалют;
  • Массовый вывод: За считанные минуты злоумышленники вывели более $40 млн в USDT из операционного кошелька на Solana.

CEO CoinDCX Сумит Гупта подтвердил, что средства пользователей находились в холодном хранилище и не подвергались риску. Однако, задержка в 17 часов с публикацией информации вызвала волну критики в адрес биржи.

⛓️ Почему атака была возможна: Уязвимости в инфраструктуре

Хотя CoinDCX утверждает, что её архитектура безопасности была продумана, атака показала, что:

  • Операционные кошельки — это критическая уязвимость: Даже если пользовательские активы защищены, средства для ликвидности остаются в зоне риска;
  • Привилегии доступа были слишком широкими: Компрометированный аккаунт мог выполнять крупные транзакции без срабатывания систем предупреждения;
  • Отсутствовала мультиподпись: Не все операционные кошельки были защищены multi-sig, что позволило хакерам действовать без дополнительных подтверждений;
  • Системы мониторинга не сработали: Атака не была обнаружена вовремя из-за использования легитимных привилегий.

Эксперт по кибербезопасности Дедди Лавид (CyVers) отметил, что атака, скорее всего, была возможна благодаря эксплуатации уязвимых учётных данных на сервере, что подчёркивает важность защиты бэкенд-систем.

💸 Как хакеры вывели средства: Chainhopping и мосты

После кражи средств злоумышленники действовали по отработанной схеме, характерной для Lazarus Group:

  1. Перевод с Solana: USDT был выведен из кошелька за 5 минут;
  2. Использование Jupiter: Для обмена части средств на другие токены;
  3. Мост Wormhole: Часть активов была переведена с Solana на Ethereum;
  4. Многократные транзакции: Средства прошли через десятки адресов, усложняя отслеживание;
  5. Консолидация: Основная часть была направлена в два кошелька — один на Solana (155 830 SOL), другой на Ethereum (4 443 ETH).

Как отметил аналитик ZachXBT, атакующие использовали Tornado Cash как точку входа, что указывает на использование смешанных тактик для маскировки своих действий.

🛡️ Почему CoinDCX скрывал инцидент почти сутки?

Новость о взломе появилась не от самой биржи, а от блокчейн-детектива ZachXBT, который опубликовал данные в своём Telegram-канале. Только через 17 часов после атаки CEO Сумит Гупта подтвердил инцидент в X (бывший Twitter).

Такая задержка вызвала резкую критику:

  • «Вы позиционируете себя как прозрачную платформу, но скрываете потерю $44 млн?»;
  • «Инвесторы должны были знать сразу, а не через день»;
  • «Это подрывает доверие ко всей индийской криптосфере».

Гупта объяснил задержку необходимостью «провести расследование и не распространять слухи», но многие считают, что это нарушение этических норм и обязанности перед сообществом.

🚀 Ответ CoinDCX: Вознаграждение и обещания

21 июля 2025 года CoinDCX объявила о запуске программы вознаграждений:

  • До 25% от возвращённых средств будет выплачено тем, кто поможет отследить и вернуть активы;
  • Максимальная сумма вознаграждения — до $11 млн;
  • Платформа сотрудничает с ведущими кибербезопасными компаниями для расследования.

Гупта подчеркнул: «Нам важнее не только вернуть средства, но и поймать атакующих, чтобы такого больше не повторилось — ни с нами, ни с кем-либо в индустрии».

Он также заверил, что биржа остаётся финансово устойчивой, все клиентские активы в безопасности, а операции продолжаются в штатном режиме.

🧠 Кто стоит за атакой: Lazarus Group и Tornado Cash

Атака была связана с северокорейской хакерской группировкой Lazarus Group, которая уже ответственна за крупнейшие кражи в истории крипторынка:

  • Bybit (февраль 2025): $1,5 млрд;
  • Multiple CEX: Более $1,6 млрд за первое полугодие 2025 года.

Группировка использует сложные тактики:

  • Пересечение блокчейнов: Использование мостов (Wormhole, LayerZero);
  • Отмывание через Tornado Cash: Обработка более $7 млрд с 2019 года;
  • Эксплуатация централизованных уязвимостей: Фокус на биржи, а не на пользователей;
  • Тщательная разведка: Как в случае с тестовой транзакцией на 1 USDT.

Это делает Lazarus одной из самых опасных угроз для криптоиндустрии.

📉 Воздействие на рынок и доверие к биржам

Инцидент стал частью более широкой тенденции:

  • $2,17 млрд было украдено с криптосервисов в первом полугодии 2025 года;
  • Средний убыток на инцидент — $7,18 млн;
  • Коэффициент возврата средств — менее 8% (только $187 млн из $2,5 млрд).

Это подрывает доверие к централизованным биржам, особенно в странах с развивающейся криптоинфраструктурой, таких как Индия, Вьетнам и Турция.

💡 Уроки для индустрии: Как избежать подобных атак?

Чтобы предотвратить повторение подобных инцидентов, биржи должны:

  • Изолировать операционные кошельки: Минимизировать их размер и доступ;
  • Внедрить multi-sig для всех операций: Даже для внутреннего использования;
  • Автоматизировать мониторинг: Системы должны срабатывать при любых аномальных движениях;
  • Проводить регулярные аудиты: Особенно для бэкенд-систем и API;
  • Обеспечить прозрачность: Немедленно информировать сообщество о любых инцидентах;
  • Сотрудничать с аналитиками: Такими как ZachXBT, Arkham и Chainalysis;
  • Создать резервные фонды: Чтобы покрыть убытки без угрозы для бизнеса.

Архитектура CoinDCX, в которой клиентские и операционные средства были разделены, стала примером для подражания, но не достаточным для полной защиты.

🧠 Мнение эксперта: «Безопасность — это не только кошельки»

Александр Власов, эксперт по кибербезопасности, отметил:

"Взлом CoinDCX — это не провал безопасности кошельков, а провал управления рисками. Самое слабое звено — это не код, а процессы, доступы и реакция на инцидент. Без быстрой и честной коммуникации доверие рушится быстрее, чем хакеры крадут средства."

Он также добавил, что:

  • Биржи должны рассматривать себя как критическую финансовую инфраструктуру;
  • Регуляторы должны требовать от них планов реагирования на инциденты;
  • Скрытность — это не защита, а признание вины;
  • Нужны международные стандарты по отчёту о кибератаках.

📊 Заключение: Новое понимание безопасности в Web3

Атака на CoinDCX стала важным уроком для всей криптоиндустрии:

  • Безопасность пользовательских кошельков — необходимость, но недостаточно;
  • Операционные системы и ликвидность — новые цели для хакеров;
  • Прозрачность — ключевой элемент доверия;
  • Северокорейские группировки — главная угроза для CEX;
  • Скорость реакции — так же важна, как и сама защита.

Будущее безопасности — в сочетании технической защиты, операционной дисциплины и открытой коммуникации. Только так можно построить устойчивую и доверенную экосистему.

26.07.2025, 04:42
Статьи