Как хакеры украли $44 млн у CoinDCX, не трогая кошельки пользователей

Злоумышленники взломали CoinDCX, но средства клиентов в безопасности

Злоумышленникам удалось получить доступ к рабочему кошельку и опустошить его за считанные минуты. К счастью, благодаря архитектуре безопасности CoinDCX все средства клиентов остались в полной безопасности.

Новость о взломе появилась почти через 17 часов, когда блокчейн-детектив ZachXBT предупредил людей о возможном взломе через свой официальный канал в Telegram.

Генеральный директор CoinDCX Сумит Гупта быстро отреагировал, опубликовав заявление на X, в котором пояснил, что один из их внутренних операционных счетов, используемых для ликвидности, был взломан, но подтвердил, что активы клиентов остались в безопасности.

Эта последняя хакерская атака на CoinDCX была связана с печально известной северокорейской группой Lazarus, которая является агрессивным хакерским синдикатом, спонсируемым государством, и нацеленным на криптовалютные биржи.

Знаете ли вы?

Северокорейские хакеры были ответственны за печально известный взлом Bybit в феврале 2025 года, который привел к самому значительному краже криптовалюты в истории на общую сумму 1,5 миллиарда долларов.

Нарушение безопасности CoinDCX произошло с так называемой военной точностью в период с 16 по 19 июля 2025 года. Гупта описывает инцидент как сложный взлом сервера, согласно отчету биржи об инциденте.

ZachXBT, который за последние несколько лет раскрыл некоторые из крупнейших криптовалютных мошенничеств, также отслеживал денежный след. На своем канале в Telegram он пояснил, что «адрес злоумышленника был пополнен одним эфиром из Tornado Cash, а затем часть похищенных средств была переведена из Solana в Ethereum».

С 2019 года криптомиксер Tornado Cash, предназначенный для отмывания денег, обработал 7 миллиардов долларов и был использован для первоначального финансирования и подготовки к этой атаке.

16 июля злоумышленники провели «пробный запуск» с тестовой транзакцией на сумму 1 USDt в ходе тщательной разведки. Это показывает, что это не была спонтанная атака, в ходе которой хакеры изучали инфраструктуру биржи и ликвидности.

В настоящее время неизвестно, какой именно вектор атаки использовали преступники, но эксперты по безопасности, такие как Дедди Лавид, генеральный директор компании CyVers, занимающейся кибербезопасностью, в ходе своего анализа предположили, что уязвимость была связана с доступом к бэкэнду через утечку учетных данных.

Внутренние службы безопасности и операционные команды CoinDCX работают с ведущими экспертами по кибербезопасности, чтобы расследовать проблемы, отследить средства и устранить любые уязвимости.

Знаете ли вы?

Нарушения безопасности криптовалютных бирж могут привести к значительному падению цен на биткойны, как правило, на 1,5% после появления новостей о нападении. Кроме того, это может иметь негативные последствия для рынка, которые сохраняются в течение длительного времени после инцидента.

После того как злоумышленники вывели из рабочего кошелька Solana более 40 миллионов долларов в USDT, средства быстро переместились. В течение пяти минут криптовалютный кошелек опустел, и средства начали перемещаться через агрегатор свопов Jupiter и инфраструктуру моста Wormhole.

Криптовалюта прошла через несколько промежуточных пунктов и в конечном итоге оказалась в двух кошельках:

Интересно, что, по всей видимости, обнаружение взлома было задержано из-за того, что злоумышленники использовали легитимные операционные привилегии. Они могли осуществлять крупные переводы средств, не вызывая срабатывания систем безопасности.

Лавид также добавил: «Хотя взломанный аккаунт был отделен от кошельков пользователей, его операционные привилегии были достаточными для осуществления крупных переводов средств без немедленного срабатывания систем безопасности».

Знаете ли вы?

Уровень возврата средств после кражи криптовалюты крайне низок. Из 2,5 миллиардов долларов, похищенных в первой половине 2025 года, удалось вернуть только 187 миллионов долларов. Это составляет менее 8%.

21 июля 2025 года CoinDCX объявила о программе вознаграждений, предлагающей до 25% от любых возвращенных средств. В зависимости от успеха усилий по возврату средств, вознаграждение может составить до 11 миллионов долларов.

Гупта пояснил, что награда призвана стимулировать исследователей, следователей в области блокчейна и хакеров-белых шапок помогать отслеживать и возвращать похищенные активы.

«Для нас важнее не столько возвращение похищенных активов, сколько выявление и поимка злоумышленников, потому что подобные вещи не должны повторяться — ни с нами, ни с кем-либо в отрасли», — сказал он.

Гупта также несколько раз повторил, что средства клиентов не пострадали и что эти активы находятся в полной безопасности в инфраструктуре холодного хранения. Он также пояснил на X, что CoinDCX по-прежнему «финансово сильна, полностью функционирует и твердо привержена» долгосрочному развитию. Бизнес идет как обычно.

По оценкам, в первой половине 2025 года из криптовалютных сервисов было похищено 2,17 миллиарда долларов. Это превышает все убытки 2024 года вместе взятые. Эксперты оценивают средний убыток от одного инцидента в 7,18 миллиона долларов, что делает этот год одним из худших за всю историю.

Одним из основных игроков в этих угрозах является северокорейская группа Lazarus. Только в первой половине 2025 года они были связаны с кражей более 1,6 миллиарда долларов. Она использует сложные тактики, основанные на межсетевом мостике, знании инфраструктуры, криптомиксерах и нацеленности на централизованные биржи.

Это подчеркивает важность работы бирж с надлежащей архитектурой безопасности, которая ограничивает ущерб от взломов. В случае CoinDCX ее система разделенных кошельков, сильные казначейские резервы CoinDCX и холодное хранение клиентов защитили компанию от разрушительных последствий.

Взлом CoinDCX действительно подчеркивает необходимость надежной безопасности криптовалютных бирж. Это, безусловно, поучительная история. Она показывает, насколько безжалостными могут быть такие группы, как северокорейская Lazarus. В то же время CoinDCX удалось сохранить все средства клиентов в безопасности, используя отдельные системы кошельков. Это служит примером для других бирж, из которого они могут извлечь уроки.

В 2025 году количество краж криптовалюты не уменьшится, поэтому трудно не беспокоиться. Биржи должны не только сосредоточиться на предотвращении взломов, но и настроить свои системы таким образом, чтобы в случае возникновения проблем ущерб оставался ограниченным и не затрагивал средства клиентов.