Indyjska giełda kryptowalut CoinDCX stała się najnowszym głośnym celem rosnącej fali zaawansowanych kradzieży cross-chain, a śledczy ds. cyberbezpieczeństwa przypisują kradzież 44 milionów dolarów z dnia 19 lipca osławionej grupie Lazarus, organizacji hakerskiej sponsorowanej przez państwo koreańskie.
Atak, który naruszył jeden z operacyjnych portfeli CoinDCX na Solanie, polegał na szybkim, zautomatyzowanym wypompowywaniu tokenów USDT i USDC, co dziwnie przypomina naruszenie w WazirX, które miało miejsce dokładnie rok wcześniej - 19 lipca 2023 roku - prowadząc do strat w wysokości 234 milionów dolarów.
Zespół CoinDCX potwierdził naruszenie, zapewniając, że środki użytkowników pozostają bezpieczne i że naruszone portfele były częścią operacyjnej infrastruktury platformy, a nie kont użytkowników. Jednak skala i metoda naruszenia wzbudziły poważne obawy dotyczące systemowych luk w indyjskiej infrastrukturze kryptograficznej, zwłaszcza w świetle powtórnych ataków na największe giełdy w regionie.
Według firmy z zakresu cyberbezpieczeństwa Cyvers Alerts, która jako pierwsza poinformowała o ataku, grupa Lazarus przeprowadziła starannie skoordynowaną operację obejmującą rozpoznanie przed atakiem, testowe transakcje oraz szybkie wyciąganie aktywów. Grupa podobno zainicjowała „testową transakcję” o wartości zaledwie 1 USDT 16 lipca - prawdopodobnie w celu zweryfikowania dostępu i monitorowania mechanizmów reakcji - zanim przeprowadziła siedem szybkich transakcji 19 lipca, które wyczerpały około 44,2 miliona dolarów w USDT i USDC z docelowego portfela. Cała operacja została zakończona w mniej niż pięć minut.
Śledczy Cyvers opisali naruszenie jako "niepokojący w swojej szybkości, cross-chainowej złożoności i wyczuciu czasu." Firma podkreśliła, że ten sam wzorzec wykorzystywania został użyty w naruszeniu WazirX w 2023 roku, sugerując trwałą i ukierunkowaną kampanię Lazarusa skoncentrowaną na indyjskiej infrastrukturze kryptowalutowej. „To nie są przypadki, ale skoordynowane operacje mające na celu testowanie i wykorzystywanie słabości regionalnych giełd” - ostrzegła Cyvers w publicznym oświadczeniu. „Lazarus przyśpiesza swoją uwagę na Indiach, a zapobieganie zagrożeniom nie jest już opcją - to ostatnia linia obrony.”
Rozciągający się na Południową Azję kierunek działań Lazarus Group
Grupa Lazarus, oficjalnie śledzona przez amerykańskie agencje wywiadowcze i firmy z zakresu cyberbezpieczeństwa od co najmniej 2014 roku, była powiązana z licznymi dużymi kradzieżami kryptograficznymi i fintech w ostatnich latach, w tym:
- Włamaniem do mostu Ronina o wartości 620 milionów dolarów (Axie Infinity) w 2022 roku
- Kradzieżą mostu Harmony Horizon o wartości 100 milionów dolarów
- Wieloma kampaniami opróżniania portfeli, ukierunkowanymi na użytkowników detalicznych i instytucjonalnych
Eksperci uważają, że północnokoreański reżim wykorzystuje te skradzione środki do obchodzenia międzynarodowych sankcji i finansowania swojego programu nuklearnego. W ciągu ostatnich dwóch lat Lazarus skupił się na platformach DeFi, mostach cross-chain i scentralizowanych giełdach w Azji, zwłaszcza w Indiach i Azji Południowo-Wschodniej, gdzie nadzór regulacyjny i inwestycje w cyberbezpieczeństwo pozostają nierówne.
W samym 2023 roku grupa była powiązana z kradzieżą kryptowalut o wartości ponad 1,8 miliarda dolarów, co czyni ją jednym z najbardziej destrukcyjnych graczy w przestrzeni aktywów cyfrowych.
Odpowiedź CoinDCX: Uruchomienie programu bounty na odzyskanie 11 mln USD
W odpowiedzi na naruszenie, CoinDCX uruchomił agresywną kampanię odzyskiwania i dochodzeniową, w tym program bounty oferujący do 25% odzyskanych aktywów - co może wynieść ponad 11 milionów dolarów - dla osób lub zespołów whitehat, które pomogą w śledzeniu i odzyskiwaniu skradzionych funduszy.
CEO CoinDCX, Sumit Gupta, wydał publiczne oświadczenie na X, obiecując ścigać sprawców i współpracować z partnerami w ekosystemie w celu poprawy odporności i wykrywania zagrożeń.
„To jest większe niż zwrot - chodzi o zapewnienie, że to się nie powtórzy, dla nas ani dla nikogo innego w branży” - powiedział Gupta. „Będziemy walczyć z tym i upewnimy się, że indyjska społeczność kryptograficzna wyjdzie z tego silniejsza.”
Gupta podkreślił, że przejrzystość i współpraca międzysektorowa będą kluczowe w zapobieganiu przyszłym incydentom i potwierdził zobowiązanie platformy do kompensowania dotkniętych operacji bez sięgania po środki użytkownika.
Rośnie wzywanie do koordynacji obrony cybernetycznej
Atak na CoinDCX odnowił wezwania liderów branży do scentralizowanej koordynacji cyberbezpieczeństwa, w tym potencjalnego indyjskiego ośrodka wywiadu zagrożeń na blockchain, który będzie monitorować eksploaty, luki w wymianie i realne zagrożenia.
Giełdy kryptograficzne w Indiach obecnie działają w zmieniającym się środowisku regulacyjnym z fragmentarycznymi normami zgodności i niejednolitymi inwestycjami w bezpieczeństwo infrastruktury. Analitycy twierdzą, że takie zdecentralizowane podejście pozostawia je coraz bardziej wrażliwymi na dobrze zaopatrzonych w zasoby, wspieranych przez państwo przeciwników, takich jak Lazarus.
„Indyjska gospodarka kryptowalutowa kwitnie, ale jej stanowisko w zakresie bezpieczeństwa nie nadąża” - powiedział badacz ds. bezpieczeństwa cyfrowego Anshul Arora, który doradza kilku firmom fintech. „Potrzebujemy wspólnego frameworku reakcji, który obejmuje giełdy, organy ścigania i ramię cyberbezpieczeństwa rządu. Lazarus nie działa w izolacji, my też nie możemy.”
Indyjskie giełdy takie jak CoinDCX i WazirX przetwarzają rocznie transakcje o wartości miliardów dolarów i obsługują miliony użytkowników zarówno lokalnych, jak i zagranicznych. W miarę jak przyspiesza adaptacja kryptowalut w Indiach, wzrasta również jej widoczność – i podatność – na światowej scenie.
Implika regulacji kryptowalut w Indiach
Incydent mógł również wznowić debaty polityczne w Indiach, gdzie regulacja kryptowalut pozostaje w stanie przepływu, mimo że Indyjski Bank Rezerwowy (RBI) naciska na bardziej rygorystyczne kontrole. Chociaż Ministerstwo Finansów jasno wyraziło, że aktywa kryptowalutowe podlegają opodatkowaniu i zasadom przeciwdziałania praniu pieniędzy, nie ma dedykowanego prawa dotyczącego bezpieczeństwa kryptograficznego ani wymogów cyberbezpieczeństwa specyficznych dla wymiany.
Eksperci ds. bezpieczeństwa uważają, że nadszedł czas, by Indie wprowadziły obowiązkowe audyty infrastruktury kryptograficznej, w tym:
- Standardy portfeli multi-sig i MPC
- Wymagania dotyczące monitorowania on-chain w czasie rzeczywistym
- Obowiązkowe symulacje ataków whitehat (testy penetracyjne)
- Szybkie zasady reagowania na incydenty i ujawniania
Bez takich proaktywnych środków, ostrzegają, rosnący ekosystem Web3 w Indiach może stać się preferowanym celem dla aktorów państwowych.
Ostateczne myśli
Pomimo powagi włamania, CoinDCX wydaje się przyjmować aktywne stanowisko, koncentrując się na powstrzymaniu, przejrzystości i współpracy w ekosystemie. Firma podobno współpracuje z firmami analitycznymi, agencjami organów ścigania oraz międzynarodowymi partnerami ds. bezpieczeństwa, aby śledzić skradzione fundusze, które mogły już zostać przekształcone w wiele sieci i wymieszane przez narzędzia prywatności.
Tymczasem indyjska społeczność kryptograficzna w dużej mierze wspiera odpowiedź CoinDCX, uznając rosnącą złożoność i geopolityczną naturę zagrożeń cyberbezpieczeństwa w Web3.
W miarę jak śledztwa trwają, to ostatnie naruszenie służy jako przebudzenie - nie tylko dla indyjskich giełd, ale dla wschodzących rynkowych platform kryptograficznych na całym świecie.
Ostatnia operacja grupy Lazarus potwierdza, że bezpieczeństwo Web3 jest teraz kwestią narodowego interesu, a zapobieganie, a nie tylko reakcja, musi stać się nowym standardem.