Индийская криптовалютная биржа CoinDCX стала последней высокопрофильной целью в нарастающей волне сложных кросс-чейн краж. По итогам расследования кибербезопасности, кража в размере $44 миллионов 19 июля была приписана пресловутой Lazarus Group, северокорейской хакерской группе, спонсируемой государством.
Атака, которая скомпрометировала один из рабочих кошельков CoinDCX на блокчейне Solana, включала быстрое, автоматическое снятие токенов USDT и USDC, и имеет поразительное сходство с утечкой WazirX, которая произошла ровно годом ранее - 19 июля 2023 года - что привело к потерям в размере $234 миллионов.
Команда CoinDCX подтвердила утечку, заверив, что средства пользователей остаются под охраной и что скомпрометированный кошелек являлся частью рабочей инфраструктуры платформы, а не пользователем хранительских счетов. Однако масштаб и метод взлома вызвали серьезные опасения по поводу системных уязвимостей в индийской криптоинфраструктуре, особенно в свете повторяющихся атак на крупнейшие биржи региона.
По данным компании Cyvers Alerts по кибербезопасности, которая первой сообщила об атаке, Lazarus Group провела тщательно скоординированную операцию, включающую разведку до атаки, пробные транзакции и быстрое извлечение активов. Сообщается, что группа инициировала «пробную транзакцию» всего на 1 USDT 16 июля - вероятно, чтобы подтвердить доступ и отслеживать механизмы реагирования - перед выполнением семи высокоскоростных транзакций 19 июля, которые опустошили примерно $44.2 миллиона в USDT и USDC с целевого кошелька. Вся операция была завершена менее чем за пять минут.
Исследователи Cyvers описали взлом как «тревожный по своей скорости, сложности кросс-чейн и времени». Компания подчеркнула, что тот же шаблон эксплуатации был использован при утечке WazirX в 2023 году, что предполагает продолжительную и целенаправленную кампанию Lazarus, сосредоточенную на криптоинфраструктуре Индии. «Эти события не случайны, а представляют собой скоординированные операции, направленные на тестирование и эксплуатацию уязвимостей региональных бирж», предупредила Cyvers в публичном заявлении. «Lazarus усиливает свое внимание на Индию, и предотвращение угроз больше не является необязательным - это последняя линия обороны»."
Расширяющееся внимание Lazarus Group к Южной Азии
Lazarus Group, официально отслеживаемая американскими разведывательными и агентствами кибербезопасности по крайней мере с 2014 года, была связана с многочисленными крупными кражами в крипто и финтек индустрии в последние годы, включая:
- Взлом на $620 миллионов Ronin Bridge (Axie Infinity) в 2022 году
- Взлом на $100 миллионов Harmony Horizon Bridge
- Многочисленные кампании по опустошению кошельков, нацеленные на розничных и институциональных пользователей
Эксперты считают, что правительство Северной Кореи использует эти украденные средства, чтобы обходить международные санкции и финансировать свою программу ядерного оружия. За последние два года Lazarus сместил фокус на DeFi платформы, кросс-чейн мосты и централизованные биржи в Азии, особенно в Индии и Юго-Восточной Азии, где регулирование и вложения в кибербезопасность остаются неравномерными.
Только в 2023 году группы были связаны с кражей криптоактивов на общую сумму более $1.8 миллиардов, делая их одними из самых разрушительных игроков в цифровом пространстве активов.
Ответ CoinDCX: запуск программы вознаграждения в $11M
В ответ на взлом CoinDCX запустила агрессивную кампанию по восстановлению и расследованию, включая программу вознаграждений, предлагающую до 25% от возвращенных активов - что может составить более $11 миллионов - для отдельных лиц или команд белых хакеров, которые помогут в отслеживании и возвращении украденных средств.
Генеральный директор CoinDCX Сумит Гупта выпустил публичное заявление на X, обещая преследовать виновных и работать с партнерами по экосистеме для улучшения устойчивости и обнаружения угроз.
«Это больше, чем просто возвращение средств - это означает, что это не повторится для нас или кого-либо другого в индустрии», - сказал Гупта. «Мы будем бороться с этим и позаботимся о том, чтобы индийское криптосообщество вышло из этого более сильным».
Гупта подчеркнул, что прозрачность и сотрудничество между индустриями будут ключевыми в предотвращении будущих инцидентов и вновь подтвердил приверженность платформы компенсации пострадавшим операциям без изъятия средств пользователей.
Растущий призыв к национальной координации киберзащиты
Атака на CoinDCX вызвала новые призывы от лидеров индустрии к централизованной координации в области кибербезопасности, включая потенциальный индийский центр информационной безопасности блокчейн, для отслеживания эксплойтов, уязвимостей бирж и угроз в реальном времени.
Криптобиржи в Индии в настоящее время работают в условиях эволюционирующей регуляторной среды с фрагментированными нормами соблюдения и непоследовательными вложениями в безопасность инфраструктуры. Аналитики утверждают, что такой децентрализованный подход делает их все более уязвимыми для хорошо оснащенных, поддерживаемых государством противников, таких как Lazarus.
«Криптоэкономика Индии процветает, но ее позиция в области безопасности не соответствует,
- сказал исследователь в области цифровой безопасности Аншул Арора, который консультирует несколько финтек-компании. «Нам нужна совместная структура для ответа, которая включает биржи, правоохранительные органы и кибербезопасность правительства. Lazarus не работает в изоляции, и мы не можем.
Индийские биржи, такие как CoinDCX и WazirX, обрабатывают миллиарды в объеме транзакций в год и обслуживают миллионы пользователей внутри страны и за рубежом. По мере роста внедрения криптовалюты в Индии, так же растет ее видимость и уязвимость на глобальной арене.
Последствия для крипторегулирования в Индии
Этот инцидент также может возобновить политические дебаты в Индии, где регулирование криптовалюты остается в состоянии флюктации, несмотря на стремление Резервного банка Индии (RBI) к более строгому контролю. Хотя Министерство финансов разъяснило, что криптоактивы будут подлежать налогообложению и правилам противодействия отмыванию денег, не существует специального закона о безопасности криптовалют или требований кибербезопасности для бирж.
Эксперты в области безопасности считают, что пришло время для Индии ввести обязательные проверки инфраструктуры криптовалют, включая:
- Стандарты для мультиподписей и MPC-кошельков
- Требования к мониторингу в реальном времени на блокчейне
- Обязательные симуляции атак белыми хакерами (проникающие тестирования)
- Правила быстрого реагирования и раскрытия инцидентов
Без таких проактивных мер они предупреждают, что растущая экосистема Web3 в Индии может стать предпочтительной целью для госсубъектов.
Заключительные мысли
Несмотря на серьезность взлома, CoinDCX, похоже, заняла проактивную позицию, сосредоточившись на сдерживании, прозрачности и сотрудничестве в экосистеме. Компания, по сообщениям, работает с аналитическими фирмами по цепям, правоохранительными органами и международными партнерами по безопасности для отслеживания украденных средств, которые могли уже быть перенесены на несколько сетей и смешаны через инструменты конфиденциальности.
В то же время индийское криптосообщество в значительной степени поддержало ответ CoinDCX, признав растущую сложность и геополитическую природу угроз безопасности в Web3.
По мере продолжения расследований, это последнее нарушение служит призывом к действию - не только для индийских бирж, но и для платформ криптовалют в развивающихся странах по всему миру.
Последняя операция группы Lazarus подтверждает, что безопасность Web3 теперь является вопросом национального интереса, и предотвращение, а не только реакция, должно стать новым стандартом.