A exchange de criptomoedas indiana CoinDCX tornou-se o mais recente alvo de destaque em uma crescente onda de roubos sofisticados entre cadeias, com investigadores de segurança cibernética agora atribuindo o roubo de $44 milhões em 19 de julho ao notório Lazarus Group, um coletivo de hackers patrocinado pelo estado norte-coreano.
O ataque, que comprometeu uma das carteiras operacionais do CoinDCX no Solana, envolveu a rápida e automatizada sifonagem de tokens USDT e USDC, e tem uma semelhança marcante com a violação da WazirX que ocorreu exatamente um ano antes - em 19 de julho de 2023 - resultando em perdas de $234 milhões.
A equipe do CoinDCX confirmou a violação, assegurando que os fundos dos usuários permanecem seguros e que a carteira afetada fazia parte da infraestrutura operacional da plataforma, em vez de contas custodiadas pelos usuários. No entanto, a escala e o método da violação levantaram sérias preocupações sobre vulnerabilidades sistêmicas na infraestrutura cripto indiana, particularmente à luz dos ataques repetidos que visam as maiores exchanges da região.
De acordo com a empresa de segurança cibernética Cyvers Alerts, que primeiro relatou o ataque, o Lazarus Group realizou uma operação meticulosamente coordenada que envolveu reconhecimento pré-ataque, transações de teste e extração rápida de ativos. O grupo supostamente iniciou uma "transação de teste" de apenas 1 USDT em 16 de julho
- provavelmente para validar o acesso e monitorar mecanismos de resposta - antes de executar sete transações de alta velocidade em 19 de julho que extraíram aproximadamente $44,2 milhões em USDT e USDC da carteira visada. Toda a operação foi concluída em menos de cinco minutos.
Os investigadores da Cyvers descreveram a violação como "alarmante em sua velocidade, sofisticação entre cadeias e momento." A empresa enfatizou que o mesmo padrão de exploração foi usado na violação da WazirX em 2023, sugerindo uma campanha persistente e direcionada pelo Lazarus focada na infraestrutura cripto indiana. "Estas não são coincidências, mas operações coordenadas destinadas a testar e explorar vulnerabilidades de exchanges regionais," Cyvers alertou em uma declaração pública. "Lazarus está acelerando seu foco na Índia, e a prevenção de ameaças não é mais opcional - é a última linha de defesa."
Expansão do Foco do Grupo Lazarus no Sul da Ásia
O Lazarus Group, formalmente rastreado por agências de inteligência e segurança cibernética dos EUA desde pelo menos 2014, tem sido associado a vários grandes roubos em cripto e fintech nos últimos anos, incluindo:
- O hack de $620 milhões da Ronin Bridge (Axie Infinity) em 2022
- O hack de $100 milhões da Harmony Horizon Bridge
- Múltiplas campanhas de drenagem de carteiras visando usuários de varejo e institucionais
Especialistas acreditam que o regime norte-coreano usa esses fundos roubados para contornar sanções internacionais e financiar seu programa de armas nucleares. Nos últimos dois anos, o Lazarus deslocou seu foco para plataformas DeFi, pontes entre cadeias e exchanges centralizadas na Ásia, especialmente na Índia e no Sudeste Asiático, onde a supervisão regulatória e o investimento em segurança cibernética permanecem desiguais.
Em 2023, apenas, o grupo foi ligado a mais de $1,8 bilhão em cripto ativos roubados, tornando-o um dos jogadores mais destrutivos no espaço de ativos digitais.
CoinDCX Responde: Lança Programa de Recompensa de
Recuperação de $11M
Em resposta à violação, CoinDCX lançou uma campanha agressiva de recuperação e investigação, incluindo um programa de recompensas que oferece até 25% dos ativos recuperados - que podem ultrapassar $11 milhões
- para indivíduos ou equipes de whitehat que ajudem a rastrear e recuperar os fundos roubados.
O CEO do CoinDCX, Sumit Gupta, emitiu uma declaração pública no X, prometendo perseguir os perpetradores e trabalhar com parceiros em todo o ecossistema para melhorar a resiliência e a detecção de ameaças.
"Isso é maior do que um reembolso - trata-se de garantir que isso não aconteça novamente, para nós ou para qualquer outro no setor," disse Gupta. "Vamos lutar por isso e garantir que a comunidade cripto indiana saia mais forte."
Gupta enfatizou que a transparência e a cooperação entre setores serão fundamentais para prevenir futuros incidentes e reafirmou o compromisso da plataforma em compensar as operações afetadas sem recorrer aos fundos dos usuários.
Crescentes Chamados para Coordenação Nacional de
Defesa Cibernética
O ataque ao CoinDCX renovou os apelos de líderes da indústria por uma coordenação centralizada de segurança cibernética, incluindo um possível centro de inteligência de ameaças blockchain indiano, para monitorar explorações, vulnerabilidades de exchanges e atores de ameaça em tempo real.
As exchanges de criptomoedas na Índia operam atualmente em um ambiente regulatório em evolução com normas de conformidade fragmentadas e investimento inconsistente em segurança de infraestrutura. Analistas argumentam que essa abordagem descentralizada as deixa cada vez mais vulneráveis a adversários bem financiados, apoiados pelo estado, como o Lazarus.
"A economia cripto da Índia está crescendo, mas sua postura de segurança não está acompanhando," disse o pesquisador de segurança digital Anshul Arora, que aconselha várias empresas de fintech. "Precisamos de um modelo de resposta conjunta que inclua exchanges, aplicação da lei e o braço de segurança cibernética do governo. Lazarus não está operando isoladamente, e tampouco podemos nós."
Exchanges indianas como o CoinDCX e o WazirX processam bilhões em volume de transações anuais e atendem milhões de usuários nacional e internacionalmente. À medida que a adoção de cripto na Índia cresce, também cresce sua visibilidade - e vulnerabilidade - no cenário global.
Implicações para a Regulamentação de Cripto na Índia
O incidente também pode reacender debates políticos na Índia, onde a regulamentação de cripto permanece em fluxo, apesar da pressão do Reserve Bank of India (RBI) por controles mais rígidos. Enquanto o Ministério das Finanças esclareceu que os ativos cripto estarão sujeitos a regras de tributação e lavagem de dinheiro, não há uma legislação dedicada à segurança de cripto ou exigência de segurança cibernética específica para exchanges.
Especialistas em segurança acreditam que é hora de a Índia introduzir auditorias obrigatórias de infraestrutura cripto, incluindo:
- Padrões de carteiras multi-sig e MPC
- Requisitos de monitoramento on-chain em tempo real
- Simulações obrigatórias de ataques whitehat (testes de penetração)
- Regras rápidas de resposta a incidentes e divulgação
Sem essas medidas proativas, alertam, o crescente ecossistema Web3 da Índia pode se tornar um alvo preferido por atores estatais.
Considerações Finais
Apesar da gravidade do hack, o CoinDCX parece estar adotando uma postura proativa, focando na contenção, transparência e colaboração no ecossistema. A empresa está supostamente trabalhando com empresas de análise de cadeia, agências de aplicação da lei e parceiros de segurança internacionais para rastrear os fundos roubados, que podem já ter sido transferidos para várias redes e misturados através de ferramentas de privacidade.
Enquanto isso, a comunidade cripto indiana tem se unido em grande parte em torno da resposta do CoinDCX, reconhecendo a crescente complexidade e natureza geopolítica das ameaças de segurança cibernética na Web3.
À medida que as investigações continuam, esta última violação serve como um alerta - não apenas para as exchanges indianas, mas para plataformas cripto de mercados emergentes globalmente.
A última operação do Grupo Lazarus reafirma que a segurança Web3 é agora uma questão de interesse nacional, e a prevenção, e não apenas a reação, deve tornar-se o novo padrão.