44万ドル相当のCoinDCXハッキング事件の解説

インドの暗号通貨業界を揺るがした情報漏洩

インドで最も有名な暗号通貨取引所の一つであるCoinDCXは、セキュリティ侵害により100万ドル以上の資金が盗まれたことを確認した。 44万ドル デジタル資産で。 

この攻撃は、 サンルーム 流動性供給に利用されるネットワークであり、顧客のウォレットではありません。攻撃は迅速かつ大規模であったにもかかわらず、同社はユーザーの資金は影響を受けておらず、完全に安全であると主張しています。

この事件は、企業ではなくブロックチェーン調査員によって最初に報告された。 Zachxbtは、不審な資金の動きを追跡し、侵害されたウォレットがCoinDCXのものだと特定しました。彼の情報開示により、CoinDCXは数分以内に対応を迫られ、今年インドで最も注目を集めた暗号資産セキュリティインシデントの一つとなりました。

攻撃の展開

オンチェーンセキュリティ企業によると サイバーズ攻撃は綿密に計画され、精密に実行されました。準備は16年2025月1日という早い時期に開始され、資金源を隠蔽するためによく使用される仮想通貨ミキサーであるTornado CashからXNUMXETHが送金されました。このETHはFixedFloatに預けられ、Polygonに引き出され、その後Solanaにブリッジされ、そこで取引手数料を賄うためにSOLに変換されました。

Hubspot メイア・ドレフCyversの創設者である攻撃者は、18月21日07時1分（UTC）までに、わずか44.2USDTでテスト取引を開始しました。そして、本格的な攻撃が始まりました。わずかXNUMX分の間に、攻撃者はSolana上のCoinDCXの運用ウォレットのXNUMXつから、約XNUMX万ドル相当のUSDTとUSDCを流出させました。

引き出しの順序は次のとおりです。

• 22:09 UTC: 2万ドル
• 22:10: 7万ドル
• 22:11: 10万ドル
• 22:12: 10万ドル
• 22:13: それぞれ5万ドルのXNUMXつの別々の取引
• 22:14: 5万ドルの最終引き出し

数分後、102,000 USDCと79,000 USDTを含む、より小規模な送金が続きました。盗まれた資金の一部（15.8万ドル）は、SolanaからEthereumにブリッジされました。これは、ルートを分散させ、回収を困難にするためだったと考えられます。

CoinDCXの反応

この侵害は、ZachXBT氏がTelegramで発見した情報を共有したことで世間の注目を集め、CoinDCXのCEOであるスミット・グプタ氏もすぐにこれを認めました。グプタ氏はこの事件を「高度なサーバー侵害」と呼び、提携取引所で使用されている単一の運用アカウントが侵害されたと述べました。

重要なのは、グプタ 明記 それ：

• すべてのユーザー資産はコールドウォレットに保管されます
• 顧客の資金には影響はなかった
• プラットフォームは取引とINRの引き出しのために通常通り稼働し続けています

「影響を受けた運用口座を隔離することで、このインシデントは迅速に収束しました」とグプタ氏は強調した。「運用口座は顧客のウォレットとは分離されているため、リスクは当該口座に限定され、全​​額が当社の自己資金から吸収されています。」

有望なプロジェクトを発見...

有望なプロジェクト...

（広告）

記事は続きます…

セキュリティ対策と復旧計画が進行中

CoinDCXは、サイバーセキュリティ企業に侵入の調査を依頼し、盗難資産の移動を追跡していると発表した。同社は、匿名の提携取引所と協力して、可能な限り資金を凍結するよう努めている。また、攻撃者が悪用する前に脆弱性を特定することを目的としたバグ報奨金プログラムも開発中である。

情報漏洩にもかかわらず、CoinDCXはシステムの健全性を主張している。同社は長年、多層セキュリティアーキテクチャを採用していると主張してきた。資金は複数のウォレットとカストディアンに分散されている。 

月次準備金証明レポートは、この取引所の透明性ポリシーの柱となっています。また、緊急事態が発生した場合にユーザーを補償するための補償基金も設けられていますが、今回のケースでは顧客資金には影響がありませんでした。

2018年に設立されたCoinDCXは、2021年に90万ドルを調達し、評価額1.1億ドルに達し、急成長を遂げ、インド初の仮想通貨ユニコーン企業となりました。2022年にはさらに135億2.15万ドルの資金調達ラウンドを実施し、評価額はほぼ倍増のXNUMX億XNUMX万ドルとなりました。

2024年XNUMX月、CoinDCXはドバイに拠点を置くBitOasisを買収し、グローバル展開への意欲を示しました。しかし、最近の情報漏洩は、この野望に暗い影を落としています。 

インドの暗号通貨にとっての警告の瞬間

このハッキング事件は、 WazirXの崩壊インドの大手取引所であるBitcoinは、北朝鮮のLazarus Groupによるものとされる情報漏洩により230億3万ドルの損失を被りました。この攻撃によりプラットフォームは閉鎖され、再建計画は失敗に終わり、これまでに回収されたのはわずかXNUMX万ドルです。

CoinDCXのハッキングが同一の攻撃者によるものかどうかは不明ですが、アカウントの不正利用、情報開示の遅れ、そしてTornado Cashへの依存といった類似点は注目に値します。今のところ、国家レベルの組織が関与しているとは指摘されていません。

中央集権化の問題

CoinDCXは堅牢なアーキテクチャを主張していますが、今回のインシデントは、中央集権型取引所の運用ウォレット管理における重大な脆弱性を露呈しました。侵害されたアカウントは、提携プラットフォームにおける流動性確保のためだけに使用されていましたが、数千万ドルもの資金が保管されており、高度な攻撃者を惹きつけるには十分な額でした。

CoinDCXの厳格な暗号資産出金ポリシーも、批判を増幅させています。ユーザーはデフォルトでは資金を引き出すことができません。出金は、リスク評価に基づく内部審査を経た場合にのみ許可されます。この中央集権的な管理は、インドの暗号資産コミュニティ内でユーザーの自律性と透明性に関する議論を巻き起こしました。

5月のRedditでのAMAで、グプタ氏はこのポリシーは不正な資金移動を防止できると擁護しました。また、セキュリティ対策、内部監査、コンプライアンス基準を理由に、CoinDCXに対するWazirXのような攻撃の可能性を軽視していました。今回の事件により、これらの主張は改めて検証されるようになりました。