Nền tảng giao dịch tiền điện tử Ấn Độ CoinDCX đã trở thành mục tiêu nổi bật mới nhất trong làn sóng tấn công tinh vi qua nhiều chuỗi, với các nhà điều tra an ninh mạng hiện nay gán vụ trộm cắp $44 triệu xảy ra vào ngày 19 tháng 7 cho nhóm hacker Lazarus Group, một nhóm hack do nhà nước Triều Tiên hậu thuẫn.
Cuộc tấn công, đã xâm phạm một ví hoạt động của CoinDCX trên Solana, liên quan đến việc rút nhanh chóng và tự động các mã thông báo USDT và USDC, và có sự giống đáng kinh ngạc với vụ vi phạm WazirX xảy ra đúng một năm trước - vào ngày 19 tháng 7, 2023 - khiến thiệt hại lên đến $234 triệu.
Đội ngũ CoinDCX đã xác nhận vi phạm này, đảm bảo rằng tiền của người dùng vẫn an toàn và ví bị ảnh hưởng là một phần của hạ tầng hoạt động của nền tảng thay vì các tài khoản lưu ký của người dùng. Tuy nhiên, quy mô và phương pháp của vi phạm đã đặt ra các vấn đề nghiêm trọng về các lỗ hổng hệ thống trong cơ sở hạ tầng tiền điện tử Ấn Độ, đặc biệt là sau các cuộc tấn công lặp lại nhắm vào các nền tảng trao đổi lớn nhất của khu vực.
Theo công ty an ninh mạng Cyvers Alerts, đơn vị đầu tiên báo cáo về vụ tấn công, nhóm Lazarus đã tiến hành một chiến dịch phối hợp tỉ mỉ bao gồm trinh sát trước tấn công, giao dịch kiểm tra và rút tài sản nhanh chóng. Nhóm này được cho là đã thực hiện một “giao dịch kiểm tra” chỉ với 1 USDT vào ngày 16 tháng 7 - có khả năng nhằm xác nhận quyền truy cập và theo dõi cơ chế phản ứng - trước khi thực hiện bảy giao dịch tốc độ cao vào ngày 19 tháng 7, rút xấp xỉ $44.2 triệu trong USDT và USDC từ ví bị nhắm mục tiêu. Toàn bộ chiến dịch hoàn tất trong chưa đầy năm phút.
Các nhà điều tra của Cyvers mô tả vi phạm này là "đáng báo động về tốc độ, sự phức tạp qua nhiều chuỗi và thời điểm." Công ty nhấn mạnh rằng mô hình khai thác tương tự đã được sử dụng trong vụ vi phạm WazirX vào 2023, cho thấy một chiến dịch liên tục và có tổ chức của Lazarus tập trung vào cơ sở hạ tầng tiền điện tử Ấn Độ. "Đây không phải là sự tình cờ mà là các chiến dịch phối hợp nhằm kiểm tra và khai thác các lỗ hổng sàn giao dịch khu vực," Cyvers cảnh báo trong một tuyên bố công khai. “Lazarus đang gia tốc tập trung vào Ấn Độ và ngăn ngừa mối đe dọa không còn là lựa chọn - đó là phòng vệ cuối cùng.”
Tập trung mở rộng của nhóm Lazarus vào Nam Á
Nhóm Lazarus, được các cơ quan tình báo và an ninh mạng Mỹ theo dõi từ ít nhất năm 2014, đã liên quan đến nhiều vụ trộm cắp lớn về tiền điện tử và fintech trong những năm gần đây, bao gồm:
- Vụ hack cầu nối Ronin Bridge trị giá $620 triệu (Axie Infinity) năm 2022
- Vụ hack cầu nối Harmony Horizon Bridge trị giá $100 triệu
- Nhiều chiến dịch rút tiền từ ví nhắm mục tiêu vào người dùng bán lẻ và tổ chức
Các chuyên gia tin rằng chính quyền Triều Tiên sử dụng các quỹ bị đánh cắp này để né tránh các lệnh trừng phạt quốc tế và tài trợ cho chương trình vũ khí hạt nhân của mình. Trong hai năm qua, Lazarus đã chuyển trọng tâm sang các nền tảng DeFi, cầu nối chuỗi và các sàn giao dịch tập trung ở châu Á, đặc biệt là ở Ấn Độ và Đông Nam Á, nơi giám sát quy định và đầu tư an ninh mạng vẫn chưa đồng đều.
Chỉ trong năm 2023, nhóm này đã bị liên kết với hơn $1.8 tỷ tài sản tiền điện tử bị đánh cắp, khiến nó trở thành một trong những lực lượng phá hủy nhất trong không gian tài sản kỹ thuật số.
CoinDCX phản hồi: Khởi động chương trình phần thưởng phục hồi trị giá $11 triệu
Để đối phó với sự vi phạm, CoinDCX đã khởi động một chiến dịch phục hồi và điều tra tích cực, bao gồm chương trình phần thưởng cung cấp lên đến 25% tài sản được phục hồi - có thể lên tới hơn $11 triệu - cho các cá nhân hoặc đội ngũ trắng lưới hỗ trợ truy tìm và thu hồi các quỹ bị đánh cắp.
CEO của CoinDCX, Sumit Gupta, đã phát hành một tuyên bố công khai trên X, hứa sẽ truy tìm những kẻ phạm tội và làm việc với các đối tác trên toàn hệ sinh thái để cải thiện khả năng chống cự và phát hiện mối đe dọa.
“Điều này không chỉ là việc bồi hoàn mà còn là đảm bảo điều này không xảy ra lần nữa, với chúng ta hoặc bất kỳ ai khác trong ngành công nghiệp này,” Gupta nói. “Chúng tôi sẽ đấu tranh điều này và đảm bảo rằng cộng đồng tiền điện tử Ấn Độ trở nên mạnh mẽ hơn.”
Gupta nhấn mạnh rằng sự minh bạch và hợp tác giữa các ngành sẽ là chìa khóa để ngăn ngừa các sự cố trong tương lai và tái khẳng định sự cam kết của nền tảng trong việc bồi thường cho các hoạt động bị ảnh hưởng mà không sử dụng quỹ của người dùng.
Các cuộc kêu gọi ngày càng tăng cho hợp tác phòng thủ mạng quốc gia
Vụ tấn công vào CoinDCX đã làm gia tăng các cuộc kêu gọi từ các nhà lãnh đạo ngành về phối hợp an ninh mạng tập trung, bao gồm một trung tâm tình báo mối đe dọa blockchain tiềm năng của Ấn Độ, để giám sát các khai thác, lỗ hổng trên sàn và các tác nhân đe dọa theo thời gian thực.
Các sàn giao dịch tiền điện tử tại Ấn Độ hiện hoạt động dưới môi trường luật pháp đang phát triển với các tiêu chuẩn tuân thủ phân tán và đầu tư không đồng nhất vào an ninh hạ tầng. Các nhà phân tích lập luận rằng cách tiếp cận phân cấp này khiến họ ngày càng dễ bị tổn thương trước các đối thủ có nguồn lực đầy đủ được nhà nước tài trợ như Lazarus.
“Nền kinh tế tiền điện tử của Ấn Độ đang bùng nổ, nhưng lập trường an ninh của nó không bắt kịp,” nhà nghiên cứu an ninh kỹ thuật số Anshul Arora, người tư vấn cho một số công ty fintech, cho biết. “Chúng ta cần có một khung phản ứng liên kết bao gồm các sàn giao dịch, thực thi pháp luật và nhánh an ninh mạng của chính phủ. Lazarus không hoạt động cô lập và chúng ta cũng không thể.”
Các sàn giao dịch Ấn Độ như CoinDCX và WazirX xử lý hàng tỷ đô la trong giao dịch hàng năm và phục vụ hàng triệu người dùng trong và ngoài nước. Khi sự chấp nhận tiền điện tử tại Ấn Độ phát triển, thì cũng tăng khả năng nhìn thấy - và dễ bị tổn thương - trên sân khấu toàn cầu.
Hậu quả cho việc điều chỉnh tiền điện tử tại Ấn Độ
Sự kiện này cũng có thể khơi mào lại các cuộc tranh luận chính sách tại Ấn Độ, nơi quy định tiền điện tử vẫn còn trong tình trạng không rõ ràng mặc dù Ngân hàng Dự trữ Ấn Độ (RBI) thúc đẩy kiểm soát chặt chẽ hơn. Mặc dù Bộ Tài chính đã làm rõ rằng các tài sản tiền điện tử sẽ phải tuân theo các quy tắc chống rửa tiền và thuế, nhưng không có luật an ninh tiền điện tử cụ thể hoặc yêu cầu an ninh mạng đối sánh sàn giao dịch nào.
Các chuyên gia an ninh cho rằng đã đến lúc Ấn Độ giới thiệu các cuộc kiểm tra hạ tầng tiền điện tử bắt buộc, bao gồm:
- Tiêu chuẩn ví Multi-sig và MPC
- Yêu cầu giám sát chuỗi thời gian thực
- Mô phỏng tấn công trắng lưới bắt buộc (kiểm tra xâm nhập)
- Quy tắc phản ứng sự cố nhanh và công bố thông tin
Nếu không có các biện pháp chủ động như vậy, họ cảnh báo, hệ sinh thái Web3 đang phát triển của Ấn Độ có thể trở thành mục tiêu ưu tiên cho các tác nhân nhà nước.
Suy nghĩ cuối cùng
Mặc dù mức độ nghiêm trọng của cuộc tấn công, CoinDCX dường như đang lấy một lập trường chủ động, tập trung vào việc kiềm chế, minh bạch và hợp tác trong hệ sinh thái. Công ty được cho biết đang làm việc với các công ty phân tích chuỗi, cơ quan thực thi pháp luật và các đối tác an ninh quốc tế để theo dõi số tiền bị đánh cắp, có thể đã được chuyển qua nhiều mạng và trộn lẫn thông qua các công cụ bảo mật.
Trong khi đó, cộng đồng tiền điện tử Ấn Độ phần lớn đã tập hợp đứng sau sự phản hồi của CoinDCX, nhận ra sự phức tạp ngày càng tăng và bản chất địa chính trị của các mối đe dọa an ninh mạng trong Web3.
Khi các cuộc điều tra tiếp tục, vi phạm này là lời cảnh tỉnh - không chỉ cho các sàn giao dịch Ấn Độ mà cho các nền tảng tiền điện tử ở các thị trường mới nổi toàn cầu.
Hoạt động mới nhất của nhóm Lazarus khẳng định rằng an ninh Web3 hiện nay là vấn đề quan trọng đối với quốc gia, và phòng ngừa, không chỉ phản ứng, phải trở thành tiêu chuẩn mới.