Die indische Kryptowährungsbörse CoinDCX ist das neueste hochkarätige Ziel in einer wachsenden Welle komplexer Cross-Chain-Diebstähle, bei denen Cybersicherheits-Ermittler nun den 44-Millionen-Dollar-Diebstahl am 19. Juli der berüchtigten Lazarus-Gruppe, einem von Nordkorea gesponserten Hacking-Kollektiv, zuschreiben.
Der Angriff, der eine der operativen Wallets von CoinDCX auf Solana kompromittierte, umfasste eine schnelle, automatisierte Abflusshandlung von USDT- und USDC-Token und ähnelt stark dem WazirX-Breach, der genau ein Jahr zuvor - am 19. Juli 2023 - stattfand und zu Verlusten von 234 Millionen Dollar führte.
Das CoinDCX-Team hat die Sicherheitsverletzung bestätigt und versichert, dass Nutzerfonds sicher bleiben und das betroffene Wallet Teil der operativen Infrastruktur der Plattform war und nicht Teil der Benutzerverwahrkonten. Dennoch haben der Umfang und die Methoden der Sicherheitsverletzung ernsthafte Bedenken hinsichtlich systemischer Schwachstellen in der indischen Krypto-Infrastruktur aufgeworfen, insbesondere im Hinblick auf wiederholte Angriffe auf die größten Börsen der Region.
Laut dem Cybersicherheitsunternehmen Cyvers Alerts, das den Angriff zuerst meldete, führte die Lazarus-Gruppe eine akribisch koordinierte Operation durch, die eine Voruntersuchung, Testtransaktionen und eine schnelle Extraktion von Vermögenswerten umfasste. Die Gruppe hat Berichten zufolge am 16. Juli eine „Testtransaktion“ von nur 1 USDT eingeleitet - wahrscheinlich, um den Zugang zu validieren und die Reaktionsmechanismen zu überwachen - bevor sie am 19. Juli sieben schnelle Transaktionen ausführte, die ungefähr 44,2 Millionen Dollar in USDT und USDC aus der Ziel-Wallet abzogen. Die gesamte Operation war in weniger als fünf Minuten abgeschlossen.
Die Ermittler von Cyvers beschrieben die Sicherheitsverletzung als „erschreckend in ihrer Geschwindigkeit, Cross-Chain-Komplexität und Timing“. Das Unternehmen betonte, dass dasselbe Exploiting-Muster im WazirX-Breach 2023 verwendet wurde, was auf eine anhaltende und gezielte Kampagne der Lazarus-Gruppe hinweist, die sich auf die indische Krypto-Infrastruktur konzentriert. „Dies sind keine Zufälle, sondern koordinierte Operationen, die darauf abzielen, regionale Schwachstellen an Börsen zu testen und auszunutzen“, warnte Cyvers in einer öffentlichen Erklärung. „Lazarus beschleunigt sein Interesse an Indien, und die Bedrohungsabwehr ist nicht mehr optional - sie ist die letzte Verteidigungslinie.“
Der wachsende Fokus der Lazarus-Gruppe auf Südasien
Die Lazarus-Gruppe, die seit mindestens 2014 von US-Intelligence- und Cybersicherheitsbehörden aufgespürt wird, wurde in den vergangenen Jahren mit zahlreichen großen Krypto- und Fintech-Diebstählen in Verbindung gebracht, darunter:
- Der 620-Millionen-Dollar-Ronin-Bridge-Hack (Axie Infinity) im Jahr 2022
- Der 100-Millionen-Dollar-Harmony-Horizon-Bridge-Hack
- Mehrere Wallet-Leer-Raubzüge, die sich gegen Einzelpersonen und institutionelle Nutzer richten
Experten glauben, dass das nordkoreanische Regime diese gestohlenen Gelder verwendet, um internationale Sanktionen zu umgehen und sein Nuklearwaffenprogramm zu finanzieren. In den letzten zwei Jahren hat Lazarus seinen Fokus auf DeFi-Plattformen, Cross-Chain-Brücken und zentralisierte Börsen in Asien, insbesondere in Indien und Südostasien, verlagert, wo die regulatorische Überwachung und die Investitionen in Cybersicherheit ungleichmäßig sind.
Allein im Jahr 2023 wurde die Gruppe mit über 1,8 Milliarden Dollar in gestohlenen Krypto-Vermögenswerten in Verbindung gebracht, was sie zu einem der destruktivsten Akteure im digitalen Anlagensektor macht.
CoinDCX reagiert: Startet ein 11-Millionen-Dollar-Rückgewinnungsprämienprogramm
In Reaktion auf die Sicherheitsverletzung hat CoinDCX eine aggressive Rückgewinnungs- und Untersuchungskampagne gestartet, darunter ein Prämienprogramm, das bis zu 25% der wiederhergestellten Vermögenswerte bietet - was über 11 Millionen Dollar betragen könnte - für Personen oder Whitehat-Teams, die bei der Aufklärung und Wiederherstellung der gestohlenen Gelder helfen.
CoinDCX-CEO Sumit Gupta gab auf X eine öffentliche Erklärung ab und gelobte, die Täter zu verfolgen und mit Partnern im gesamten Ökosystem zusammenzuarbeiten, um die Widerstandsfähigkeit und Bedrohungserkennung zu verbessern.
„Es geht nicht nur um eine Rückerstattung - es geht darum sicherzustellen, dass dies nicht noch einmal passiert, weder uns noch anderen in der Branche“, sagte Gupta. „Wir werden dagegen kämpfen und sicherstellen, dass die indische Krypto-Community gestärkt daraus hervorgeht.“
Gupta betonte, dass Transparenz und branchenübergreifende Kooperation der Schlüssel zur Verhinderung zukünftiger Vorfälle sein werden, und bekräftigte das Engagement der Plattform, betroffene Betrieben ohne den Rückgriff auf Benutzerfonds zu entschädigen.
Wachsende Rufe nach nationaler Koordination der Cybersicherheit
Der Angriff auf CoinDCX hat bei Branchenführern erneute Rufe nach zentralisierter Cybersicherheitskoordination, einschließlich eines potenziellen indischen Blockchain-Bedrohungsinformationszentrums, laut werden lassen, um Exploits, Schwachstellen und Bedrohungsakteure in Echtzeit zu überwachen.
Kryptowährungsbörsen in Indien operieren derzeit unter einem sich entwickelnden regulatorischen Umfeld mit fragmentierten Compliance-Normen und uneinheitlichen Investitionen in Infrastruktursicherheit. Analytiker argumentieren, dass dieser dezentralisierte Ansatz sie zunehmend anfällig für gut ausgestattete, staatlich unterstützte Gegner wie Lazarus macht.
„Indiens Krypto-Wirtschaft boomt, aber ihre Sicherheitslage hält damit nicht Schritt“, sagte der digitale Sicherheitsexperte Anshul Arora, der mehrere Fintech-Unternehmen berät. „Wir benötigen ein gemeinsames Antwortschema, das Börsen, Strafverfolgungsbehörden und den Cybersicherheitszweig der Regierung umfasst. Lazarus operiert nicht isoliert und wir können es auch nicht.“
Indische Börsen wie CoinDCX und WazirX verarbeiten jährlich Milliarden an Transaktionsvolumen und bedienen Millionen von Nutzern im In- und Ausland. Je mehr Indiens Krypto-Adoption wächst, desto größer wird seine Sichtbarkeit - und Verwundbarkeit - auf der globalen Bühne.
Auswirkungen auf die Kryptoregulierung in Indien
Der Vorfall könnte auch Regulierungsdebatten in Indien neu entfachen, wo die Kryptoregulierung trotz der Forderungen der Reserve Bank of India (RBI) nach strengeren Kontrollen weiterhin im Fluss ist. Während das Finanzministerium klargestellt hat, dass Krypto-Vermögenswerte der Besteuerung und den Regeln zur Bekämpfung der Geldwäsche unterliegen, gibt es kein spezifisches Kryptosicherheitsgesetz oder eine spezifische Cybersicherheitsanforderung für Börsen.
Sicherheitsexperten glauben, dass es an der Zeit ist, dass Indien obligatorische Prüfungen von Kryptoinfrastrukturen einführt, darunter:
- Multi-Sig- und MPC-Wallet-Standards
- Anforderungen an Echtzeit-On-Chain-Überwachung
- Obligatorische Whitehat-Angriffssimulationen (Penetrationstests)
- Schnelle Reaktions- und Offenlegungsregeln bei Vorfällen
Ohne solche proaktiven Maßnahmen warnen sie, könnte Indiens wachsende Web3-Ökosystem zu einem bevorzugten Ziel für staatliche Akteure werden.
Abschließende Gedanken
Trotz der Schwere des Hacks scheint CoinDCX eine proaktive Haltung einzunehmen, indem es sich auf Eindämmung, Transparenz und Zusammenarbeit innerhalb des Ökosystems konzentriert. Berichten zufolge arbeitet das Unternehmen mit Kettenanalytik-Firmen, Strafverfolgungsbehörden und internationalen Sicherheitspartnern zusammen, um die gestohlenen Gelder aufzuspüren, die möglicherweise bereits auf mehrere Netzwerke übertragen und durch Privatsphäre-Tools durchmischt wurden.
Unterdessen hat sich die indische Krypto-Community weitgehend hinter der Reaktion von CoinDCX versammelt und die zunehmende Komplexität und geopolitische Natur von Cybersicherheitsbedrohungen im Web3 anerkannt.
Während die Ermittlungen weiterlaufen, dient dieser jüngste Hack als Weckruf - nicht nur für indische Börsen, sondern für Krypto-Plattformen in Schwellenländern weltweit.
Der jüngste Einsatz der Lazarus-Gruppe bestätigt, dass die Sicherheit im Web3 nun eine Angelegenheit von nationalem Interesse ist, und die Prävention, nicht nur die Reaktion, muss zum neuen Standard werden.