La bolsa de criptomonedas india CoinDCX se ha convertido en el último objetivo de alto perfil en una creciente ola de robos sofisticados de cross-chain, con investigadores ahora atribuyendo el robo de $44 millones el 19 de julio al notorio Grupo Lazarus, un colectivo de hackers apoyado por el estado norcoreano.
El ataque, que comprometió una de las billeteras operativas de CoinDCX en Solana, involucró el rápido saqueo automatizado de tokens USDT y USDC, y guarda una sorprendente similitud con la brecha en WazirX que ocurrió exactamente un año antes - el 19 de julio de 2023 - causando pérdidas de $234 millones.
El equipo de CoinDCX ha confirmado la brecha, asegurando que los fondos de los usuarios permanecen seguros y que la billetera afectada fue parte de la infraestructura operativa de la plataforma más que de las cuentas de custodia de usuarios. Sin embargo, la escala y el método de la brecha han suscitado serias preocupaciones sobre vulnerabilidades sistémicas en la infraestructura de criptomonedas de India, especialmente a la luz de los repetidos ataques dirigidos a las principales bolsas de la región.
Según la firma de ciberseguridad Cyvers Alerts, que primero informó del ataque, el Grupo Lazarus llevó a cabo una operación meticulosamente coordinada que involucró reconocimiento previo al ataque, transacciones de prueba y extracción rápida de activos. El grupo supuestamente inició una "transacción de prueba" de solo 1 USDT el 16 de julio - probablemente para validar acceso y monitorear mecanismos de respuesta - antes de ejecutar siete transacciones de alta velocidad el 19 de julio que drenaron aproximadamente $44.2 millones en USDT y USDC de la billetera objetivo. La operación completa se completó en menos de cinco minutos.
Los investigadores de Cyvers describieron la brecha como "alarmante en su velocidad, sofisticación cross-chain y tiempo". La firma enfatizó que el mismo patrón de explotación fue utilizado en la brecha de WazirX en 2023, sugiriendo una campaña persistente y dirigida por Lazarus centrada en la infraestructura crypto de India. "Estas no son coincidencias, sino operaciones coordinadas destinadas a probar y explotar vulnerabilidades de intercambio regional", advirtió Cyvers en una declaración pública. "Lazarus está acelerando su enfoque en India, y la prevención de amenazas ya no es opcional - es la última línea de defensa."
Expansión del Enfoque del Grupo Lazarus en el Sur de Asia
El Grupo Lazarus, formalmente rastreado por agencias de inteligencia y ciberseguridad estadounidenses desde al menos 2014, ha estado vinculado a numerosos robos importantes de crypto y fintech en los últimos años, incluyendo:
- El hackeo de $620 millones al puente Ronin (Axie Infinity) en 2022
- El hackeo de $100 millones al puente Harmony Horizon
- Múltiples campañas de vaciado de billeteras dirigidas a usuarios minoristas e institucionales
Los expertos creen que el régimen norcoreano usa estos fondos robados para eludir sanciones internacionales y financiar su programa de armas nucleares. En los últimos dos años, Lazarus ha centrado su enfoque en plataformas DeFi, puentes cross-chain e intercambios centralizados en Asia, particularmente en India y el Sudeste Asiático, donde la supervisión regulatoria y la inversión en ciberseguridad permanecen desiguales.
Solo en 2023, el grupo fue vinculado con más de $1.8 mil millones en activos crypto robados, convirtiéndolo en uno de los actores más destructivos en el espacio de activos digitales.
CoinDCX Responde: Lanza Programa de Recompensa de Recuperación de $11M
En respuesta a la brecha, CoinDCX ha lanzado una agresiva campaña de recuperación e investigación, incluyendo un programa de recompensa que ofrece hasta el 25% de los activos recuperados - lo que podría alcanzar más de $11 millones - para individuos o equipos de hackers éticos que ayuden a rastrear y recuperar los fondos robados.
Sumit Gupta, CEO de CoinDCX, emitió una declaración pública en X, prometiendo perseguir a los perpetradores y trabajar con socios en todo el ecosistema para mejorar la resiliencia y detección de amenazas.
“Esto es más que un reembolso - se trata de asegurar que esto no vuelva a suceder, a nosotros o a cualquier otro en la industria”, dijo Gupta. “Lucharemos en esto y nos aseguraremos de que la comunidad crypto india emerja más fuerte.”
Gupta enfatizó que la transparencia y la cooperación entre industrias serán claves para prevenir futuros incidentes y reafirmó el compromiso de la plataforma de compensar las operaciones afectadas sin recurrir a los fondos de los usuarios.
Crecientes Llamados para la Coordinación de Defensa Cibernética Nacional
El ataque a CoinDCX ha renovado llamados de líderes de la industria para una coordinación centralizada de ciberseguridad, incluyendo un potencial centro indio de inteligencia de amenazas blockchain, para monitorear explotaciones, vulnerabilidades de intercambio y actores de amenazas en tiempo real.
Los intercambios de crypto en India actualmente operan bajo un entorno normativo en evolución con normas de cumplimiento fragmentadas e inversión inconsistente en seguridad de infraestructuras. Los analistas argumentan que este enfoque descentralizado los deja cada vez más vulnerables a adversarios bien equipados y respaldados por estados como Lazarus.
“La economía crypto de India está en auge, pero su postura de seguridad no está al día”, dijo Anshul Arora, investigador de seguridad digital que asesora a varias firmas fintech. “Necesitamos un marco de respuesta conjunta que incluya a los intercambios, las fuerzas del orden y el brazo de ciberseguridad del gobierno. Lazarus no opera en aislamiento, y nosotros tampoco podemos hacerlo.”
Intercambios indios como CoinDCX y WazirX procesan miles de millones en volumen de transacciones anuales y atienden a millones de usuarios a nivel nacional y en el extranjero. A medida que la adopción de crypto en India crece, también lo hace su visibilidad - y vulnerabilidad - en el escenario global.
Implicaciones para la Regulación de Crypto en India
El incidente también podría reavivar los debates políticos en India, donde la regulación crypto ha permanecido en flujo a pesar del empuje del Banco de la Reserva de India (RBI) por controles más estrictos. Aunque el Ministerio de Finanzas ha aclarado que los activos crypto estarán sujetos a impuestos y reglas contra el lavado de dinero, no existe una ley de seguridad crypto dedicada o un requisito específico de ciberseguridad para los intercambios.
Los expertos en seguridad creen que ha llegado el momento para que India introduzca auditorías obligatorias de infraestructura crypto, que incluyan:
- Estándares de billeteras multi-sig y MPC
- Requisitos de monitoreo en cadena en tiempo real
- Simulaciones obligatorias de ataques de hackers éticos (pruebas de penetración)
- Reglas rápidas de respuesta y divulgación de incidentes
Sin tales medidas proactivas, advierten, el creciente ecosistema Web3 de India podría convertirse en un objetivo preferido para actores estatales.
Reflexiones finales
A pesar de la severidad del hackeo, CoinDCX parece estar adoptando una postura proactiva, enfocándose en la contención, transparencia y colaboración del ecosistema. Se informa que la empresa está trabajando con firmas de análisis de cadenas, agencias de aplicación de la ley y socios de seguridad internacionales para rastrear los fondos robados, que ya podrían haberse puenteado a múltiples redes y mezclado a través de herramientas de privacidad.
Mientras tanto, la comunidad crypto india en su mayoría ha respaldado la respuesta de CoinDCX, reconociendo la creciente complejidad y naturaleza geopolítica de las amenazas de ciberseguridad en Web3.
A medida que continúan las investigaciones, esta última brecha sirve como una llamada de atención - no solo para los intercambios indios sino para las plataformas crypto de mercados emergentes a nivel mundial.
La última operación del Grupo Lazarus reafirma que la seguridad en Web3 ahora es un asunto de interés nacional, y la prevención, no solo la reacción, debe convertirse en el nuevo estándar.