A exchange de criptomoedas indiana CoinDCX se tornou o mais recente alvo de alto perfil em uma onda crescente de roubos sofisticados entre cadeias, com investigadores de segurança cibernética agora atribuindo o roubo de $44 milhões em 19 de julho ao notório Grupo Lazarus, um coletivo hacker patrocinado pelo estado norte-coreano.
O ataque, que comprometeu uma das carteiras operacionais da CoinDCX na Solana, envolveu o rápido e automatizado desvio de tokens USDT e USDC, e tem uma impressionante similaridade com a violação da WazirX que ocorreu exatamente um ano antes - em 19 de julho de 2023 - resultando em perdas de $234 milhões.
A equipe da CoinDCX confirmou a violação, assegurando que os fundos dos usuários permanecem seguros e que a carteira impactada fazia parte da infraestrutura operacional da plataforma em vez das contas custodiadas pelos usuários. No entanto, a escala e o método da violação levantaram sérias preocupações sobre vulnerabilidades sistêmicas na infraestrutura criptográfica indiana, especialmente à luz dos ataques repetidos que visam as maiores exchanges da região.
De acordo com a empresa de segurança cibernética Cyvers Alerts, que relatou o ataque pela primeira vez, o Grupo Lazarus realizou uma operação meticulosamente coordenada envolvendo reconhecimento pré-ataque, transações de teste e rápida extração de ativos. O grupo supostamente iniciou uma "transação de teste" de apenas 1 USDT em 16 de julho - provavelmente para validar o acesso e monitorar os mecanismos de resposta - antes de executar sete transações de alta velocidade em 19 de julho que drenaram aproximadamente $44,2 milhões em USDT e USDC da carteira alvo. Toda a operação foi concluída em menos de cinco minutos.
Os investigadores da Cyvers descreveram a violação como "alarmante em sua velocidade, sofisticação de entre cadeias e timing." A empresa enfatizou que o mesmo padrão de exploração foi usado na violação da WazirX em 2023, sugerindo uma campanha persistente e direcionada do Lazarus focada na infraestrutura de criptomoedas indiana. “Esses não são coincidências, mas operações coordenadas com a intenção de testar e explorar vulnerabilidades de exchanges regionais”, alertou a Cyvers em uma declaração pública. “Lazarus está acelerando seu foco na Índia, e a prevenção de ameaças já não é opcional - é a última linha de defesa.”
Foco Expansivo do Grupo Lazarus no Sul da Ásia
O Grupo Lazarus, formalmente rastreado por agências de inteligência e cibersegurança dos EUA desde pelo menos 2014, foi ligado a inúmeras desculpas crypto e fintech significativas nos últimos anos, incluindo:
- O hack de $620 milhões na Ronin Bridge (Axie Infinity) em 2022
- O hack de $100 milhões na Harmony Horizon Bridge
- Múltiplas campanhas de esvaziamento de carteiras visando usuários de varejo e institucionais
Especialistas acreditam que o regime norte-coreano usa esses fundos roubados para contornar sanções internacionais e financiar seu programa de armas nucleares. Nos últimos dois anos, o Lazarus mudou seu foco para plataformas DeFi, pontes entre cadeias e exchanges centralizadas na Ásia, particularmente na Índia e no Sudeste Asiático, onde a supervisão regulatória e o investimento em segurança cibernética permanecem desiguais.
Somente em 2023, o grupo foi ligado a mais de $1,8 bilhões em criptoativos roubados, tornando-o um dos players mais destrutivos no espaço de ativos digitais.
CoinDCX Responde: Lança Programa de Recompensa de Recuperação de $11M
Em resposta à violação, a CoinDCX lançou uma agressiva campanha de recuperação e investigação, incluindo um programa de recompensas oferecendo até 25% dos ativos recuperados - que podem chegar a mais de $11 milhões
- para indivíduos ou equipes de whitehat que ajudem a rastrear e recuperar os fundos roubados.
O CEO da CoinDCX, Sumit Gupta, emitiu uma declaração pública no X, prometendo perseguir os perpetradores e trabalhar com parceiros em todo o ecossistema para melhorar a resiliência e a detecção de ameaças.
“Isso é maior do que um reembolso - é sobre garantir que isso não aconteça novamente, conosco ou com qualquer outra pessoa no setor,” disse Gupta. “Vamos lutar contra isso e garantir que a comunidade criptografica indiana emerja mais forte.”
Gupta enfatizou que a transparência e a cooperação entre setores serão fundamentais para prevenir futuros incidentes e reafirmou o compromisso da plataforma em compensar as operações afetadas sem recorrer aos fundos dos usuários.
Crescentes Chamados por Coordenação Nacional de Defesa Cibernética
O ataque à CoinDCX renovou os chamados de líderes do setor para uma coordenação centralizada de segurança cibernética, incluindo um potencial centro indiano de inteligência de ameaças blockchain, para monitorar explorações, vulnerabilidades de exchanges e atores de ameaças em tempo real.
As exchanges de criptomoedas na Índia atualmente operam sob um ambiente regulamentar em evolução com normas de conformidade fragmentadas e investimento inconsistente em segurança de infraestrutura. Analistas argumentam que essa abordagem descentralizada as deixa cada vez mais vulneráveis a adversários bem financiados e apoiados pelo estado, como o Lazarus.
“A economia cripto da Índia está em expansão, mas sua postura de segurança não está acompanhando o ritmo,” disse o pesquisador de segurança digital Anshul Arora, que assessora várias empresas fintech. “Precisamos de um framework de resposta conjunta que inclua exchanges, aplicação da lei e o braço de segurança cibernética do governo. Lazarus não está operando isoladamente, e nós também não podemos.”
Exchanges indianas como a CoinDCX e WazirX processam bilhões em volume de transações anuais e atendem milhões de usuários domésticos e no exterior. À medida que a adoção cripto da Índia cresce, também cresce sua visibilidade - e vulnerabilidade - no cenário global.
Implicações para a Regulação Cripto na Índia
O incidente também pode reacender os debates políticos na Índia, onde a regulamentação cripto permanece em fluxo, apesar do impulso do Banco da Reserva da Índia (RBI) por controles mais rígidos. Enquanto o Ministério das Finanças esclareceu que os criptoativos estarão sujeitos à tributação e regras anti-lavagem de dinheiro, não há uma lei de segurança cripto dedicada ou requisito específico de cibersegurança para exchanges.
Especialistas em segurança acreditam que chegou a hora da Índia introduzir auditorias obrigatórias de infraestrutura cripto, incluindo:
- Padrões de carteira multi-sig e MPC
- Requisitos de monitoramento on-chain em tempo real
- Simulações obrigatórias de ataque whitehat (testes de penetração)
- Regras de resposta rápida a incidentes e divulgação
Sem tais medidas proativas, eles alertam, o ecossistema Web3 em expansão da Índia pode se tornar um alvo preferido para atores estatais.
Reflexões Finais
Apesar da gravidade do hack, a CoinDCX parece estar adotando uma postura proativa, focando em contenção, transparência e colaboração no ecossistema. A empresa está trabalhando com empresas de análise em cadeia, agências de aplicação da lei e parceiros de segurança internacional para rastrear os fundos roubados, que podem já ter sido transferidos para várias redes e misturados por meio de ferramentas de privacidade.
Enquanto isso, a comunidade cripto indiana tem em grande parte apoiado a resposta da CoinDCX, reconhecendo a crescente complexidade e natureza geopolítica das ameaças cibernéticas no Web3.
À medida que as investigações continuam, essa última violação serve como um alerta - não apenas para exchanges indianas, mas para plataformas criptográficas de mercados emergentes globalmente.
A última operação do Grupo Lazarus reafirma que a segurança do Web3 agora é uma questão de interesse nacional, e a prevenção, não apenas reação, deve se tornar o novo padrão.