Індійська криптобіржа CoinDCX стала останньою високопрофільною мішенню в зростаючій хвилі складних кросчейн-зломів, причому кібербезпекові розслідувачі наразі приписують крадіжку $44 мільйони 19 липня до сумнозвісної групи Lazarus, північнокорейського державного хакерського колективу.
Атака, яка скомпрометувала один з оперативних гаманців CoinDCX на Solana, включала швидке автоматизоване зняття токенів USDT і USDC і має разючу схожість із зломом WazirX, що стався рівно за рік до - 19 липня 2023 року - з результатом втрати $234 мільйонів.
Команда CoinDCX підтвердила злом, запевнивши, що кошти користувачів залишаються в безпеці і що уражений гаманець був частиною оперативної інфраструктури платформи, а не її користувацькими кастодіальними рахунками. Проте масштаб і метод злому викликали серйозні занепокоєння щодо системних вразливостей індійської криптоінфраструктури, особливо враховуючи неодноразові атаки на найбільші біржі регіону.
За даними фірми кібербезпеки Cyvers Alerts, яка першою повідомила про атаку, група Lazarus виконала ретельно скоординовану операцію, що включала попередню розвідку, тестові транзакції та швидке витягнення активів. Група, як повідомляється, ініціювала "тестову транзакцію" всього на 1 USDT 16 липня - ймовірно, щоб перевірити доступ і моніторити механізми реакції - перед здійсненням семи високошвидкісних транзакцій 19 липня, які виснажили приблизно $44,2 мільйона в USDT та USDC з цільового гаманця. Уся операція була завершена менш ніж за п'ять хвилин.
Інвестигатори Cyvers описали злом як "тривожний своєю швидкістю, кросчейн-складністю та часом". Фірма підкреслила, що той самий патерн експлойту був використаний у зломі WazirX у 2023 році, що свідчить про постійну та цілеспрямовану кампанію групи Lazarus, спрямовану на індійську криптоінфраструктуру. "Це не збіги, а скоординовані операції для перевірки і експлуатації вразливостей регіональних бірж", - заявляється в публічній заяві Cyvers. "Lazarus прискорює свій фокус на Індії, і попередження загроз більше не є опцією - це остання лінія захисту."
Розширення уваги групи Lazarus на Південній Азії
Група Lazarus, формально спостережувана розвідувальними та кібербезпековими агентствами США щонайменше з 2014 року, була пов'язана з численними великими зломами криптовалюти і фінтеху в останні роки, включаючи:
- $620 мільйонний злом Ronin Bridge (Axie Infinity) у 2022 році
- $100 мільйонний злом Harmony Horizon Bridge
- Множинні кампанії з випорожнення гаманців, націлені на роздрібних і інституційних користувачів
Експерти вважають, що північнокорейський режим використовує ці вкрадені кошти, щоб обійти міжнародні санкції і фінансувати свою ядерну програму. За останні два роки Lazarus змістив свій фокус на DeFi платформи, кросчейн мости та централізовані біржі в Азії, особливо в Індії та Південно-Східній Азії, де регуляторний нагляд і інвестиції в кібербезпеку залишаються нерівномірними.
Лише в 2023 році група була пов'язана з крадіжкою понад $1,8 мільярда криптоактивів, що робить її одним із найбільш деструктивних гравців у просторі цифрових активів.
Реакція CoinDCX: запуск $11 млн програми
У відповідь на злом CoinDCX запустила агресивну програму відновлення та розслідування, включаючи винагороду до 25% від повернених активів - що може скласти понад $11 мільйонів - для осіб або команд, що допоможуть у відстеженні та відновленні вкрадених коштів.
Генеральний директор CoinDCX Суміт Гупта виступив із публічною заявою на Х, пообіцявши переслідувати виконавців і співпрацювати з партнерами по всій екосистемі для покращення стійкості та виявлення загроз.
"Це більше, ніж відшкодування - це про те, щоб це не повторилося, з нами чи ким-небудь іншим у галузі," сказав Гупта. "Ми будемо боротися з цим і переконаємось, що індійська криптоспільнота вийде сильнішою."
Гупта підкреслив, що прозорість і крос-галузева координація будуть ключовими для запобігання майбутнім інцидентам і підтвердив відданість платформи компенсувати постраждалі операції без використання коштів користувачів.
Зростаючі заклики до національної координації
Атака на CoinDCX викликала нові заклики від лідерів галузі до централізованої координації кібербезпеки, включаючи потенційний індійський центр інтелекту про загрози блокчейн для моніторингу експлойтів, вразливостей бірж і акторів загроз у режимі реального часу.
Криптобіржі в Індії наразі працюють в умовах розвитку регуляторного середовища з фрагментованими нормами відповідності та неузгодженими інвестиціями в безпеку інфраструктури. Аналітики стверджують, що цей децентралізований підхід залишає їх дедалі вразливішими до добре ресурсних, державних противників, таких як Lazarus.
"Індійська криптоекономіка процвітає, але її безпекова позиція не встигає за цим," сказав дослідник цифрової безпеки Аншул Арора, що консультує кілька фінтех-компаній. "Нам потрібна спільна відповідь, що включає біржі, правоохоронні органи і кібербезпекове управління уряду. Lazarus не діє в ізоляції, і ми теж не можемо."
Індійські біржі, такі як CoinDCX та WazirX, обробляють мільярди у щорічному обсязі транзакцій і обслуговують мільйони користувачів в країні та за її межами. У міру зростання криптоадопції в Індії зростає і її видимість - та вразливість - на глобальному етапі.
Наслідки для крипторегуляції в Індії
Інцидент також може знову викликати дебати щодо політики в Індії, де регулювання криптовалют залишається нестабільним, незважаючи на вимоги Резервного банку Індії (RBI) до жорсткіших контролів. Хоча міністерство фінансів уточнило, що криптоактиви підлягатимуть оподаткуванню і правилам щодо боротьби з відмиванням грошей, немає спеціального закону про безпеку криптовалют або вимог щодо кібербезпеки для бірж.
Експерти з безпеки вважають, що настав час Індії впровадити обов'язкові аудити криптоінфраструктури, включаючи:
- Стандарти мульти-підпису та MPC гаманців
- Вимоги до моніторингу в режимі реального часу
- Обов'язкові симуляції атак з боку "білих" хакерів (пентестинг)
- Правила швидкого реагування на інциденти та розкриття інформації
Без таких проактивних заходів вони попереджають, індійська зростаюча екосистема Web3 може стати улюбленою мішенню для державних акторів.
Заключні думки
Незважаючи на серйозність злому, CoinDCX, виглядає, займає проактивну позицію, зосереджуючись на обмеженні, прозорості та співпраці з екосистемою. Компанія, за повідомленнями, співпрацює з аналітичними фірмами, правоохоронними органами та міжнародними партнерами з безпеки, щоб відстежити вкрадені кошти, які можливо вже були переправлені через різні мережі та змішані через інструменти конфіденційності.
Тим часом, індійська криптоспільнота здебільшого підтримала реагування CoinDCX, визнаючи зростаючу складність та геополітичну природу загроз кібербезпеки у Web3.
У міру продовження розслідувань цей останній злом служить сигналом для пробудження - не лише для індійських бірж, але і для платформ криптовалют на ринках, що розвиваються в глобальному масштабі.
Остання операція групи Lazarus підтверджує, що безпека Web3 тепер є питанням національної важливості, і запобігання, а не лише реакція, має стати новим стандартом.