Balita

(Advertisement)

Ipinaliwanag ang $44M CoinDCX Hack

kadena

Nagsimula ang pag-atake sa ETH na nagmula sa Tornado Cash, na-ruta sa FixedFloat, pagkatapos ay Polygon, at sa wakas ay na-bridge sa Solana.

Soumen Datta

Hulyo 20, 2025

(Advertisement)

Talaan ng nilalaman

Isang Paglabag na Yumanig sa Crypto Sector ng IndiaPaano Naganap ang Pag-atakeTumugon ang CoinDCXIsang Pag-iingat na Sandali para sa Indian CryptoIsang Suliranin ng Sentralisasyon

Isang Paglabag na Yumanig sa Crypto Sector ng India

Ang CoinDCX, isa sa pinakakilalang palitan ng cryptocurrency ng India, ay nagkumpirma ng paglabag sa seguridad na nagresulta sa pagnanakaw ng higit $ 44 Milyon sa mga digital assets. 

Ang pagsasamantala ay naka-target sa isang operational wallet sa Solana network na ginagamit para sa pagbibigay ng pagkatubig—hindi mga wallet ng customer. Sa kabila ng mabilis at malakihang katangian ng pag-atake, iginiit ng kumpanya na ang mga pondo ng user ay mananatiling hindi nagagalaw at ganap na ligtas.

Ang insidente ay unang na-flag hindi ng kumpanya kundi ng blockchain investigator Zach XBT, na sumubaybay sa mga kahina-hinalang paggalaw ng pondo at tinukoy ang nakompromisong wallet bilang pag-aari ng CoinDCX. Ang kanyang pagsisiwalat ay nagpilit ng tugon mula sa CoinDCX sa loob ng ilang minuto, na minarkahan ang isa sa mga pinaka-high-profile na insidente sa seguridad ng crypto sa India ngayong taon.

Paano Naganap ang Pag-atake

Ayon sa on-chain security firm Cyvers, ang pag-atake ay mahusay na binalak at naisakatuparan nang may katumpakan. Nagsimula ang setup noong Hulyo 16, 2025, na may 1 ETH na ipinadala mula sa Tornado Cash—isang cryptocurrency mixer na kadalasang ginagamit upang i-obfuscate ang pinagmulan ng pondo. Ang ETH na ito ay idineposito sa FixedFloat, na-withdraw sa Polygon, at kalaunan ay na-bridge sa Solana, kung saan ito ay na-convert sa SOL upang masakop ang mga bayarin sa transaksyon.

Ayon sa Meir Dolev, tagapagtatag ng Cyvers, noong Hulyo 18, sa 21:07 UTC, sinimulan ng attacker ang isang pagsubok na transaksyon sa 1 USDT lang. Pagkatapos ay nagsimula ang tunay na pagsasamantala. Sa loob ng limang minuto, naubos ng umaatake ang humigit-kumulang $44.2 milyon sa USDT at USDC mula sa isa sa mga operational wallet ng CoinDCX sa Solana.

Ang pagkakasunud-sunod ng mga withdrawal ay ang mga sumusunod:

  • 22:09 UTC: $2 milyon
  • 22:10: $7 milyon
  • 22:11: $10 milyon
  • 22:12: $10 milyon
  • 22:13: Dalawang magkahiwalay na transaksyon na $5 milyon bawat isa
  • 22:14: Panghuling pag-withdraw ng $5 milyon

Makalipas ang ilang minuto, sumunod ang mas maliliit na paglilipat, kabilang ang 102,000 USDC at 79,000 USDT. Ang isang bahagi ng mga ninakaw na pondo—$15.8 milyon—ay na-bridge mula sa Solana patungo sa Ethereum, posibleng upang pag-iba-ibahin ang mga ruta at gawing kumplikado ang pagbawi.

Tumugon ang CoinDCX

Ang paglabag ay dumating sa atensyon ng publiko nang ibahagi ni ZachXBT ang kanyang mga natuklasan sa Telegram, na nag-udyok ng mabilis na pagkumpirma mula sa CoinDCX CEO Sumit Gupta. Tinawag niya ang insidente na isang "sopistikadong server breach" na nakompromiso ang isang solong operational account na ginamit sa isang partner exchange.

Ang mahalaga, Gupta naglalagay na:

  • Ang lahat ng asset ng user ay naka-store sa cold wallet
  • Walang naapektuhang pondo ng customer
  • Ang platform ay patuloy na gumagana nang normal para sa pangangalakal at pag-withdraw ng INR

"Ang insidente ay mabilis na nakapaloob sa pamamagitan ng paghihiwalay sa apektadong account sa pagpapatakbo," diin ni Gupta. "Dahil ang aming mga operational account ay ibinukod mula sa mga wallet ng customer, ang pagkakalantad ay limitado lamang sa partikular na account na ito at kami ay ganap na hinihigop - mula sa aming sariling treasury reserves."

Mga Promising Project...

(Advertisement)

Pup BNBASXPananalapi ng LidoPup BNBASXPananalapi ng LidoPup BNBASXPananalapi ng Lido
Nagpapatuloy ang artikulo...

Isinasagawa ang Mga Panukala sa Seguridad at Mga Plano sa Pagbawi

Sinasabi ng CoinDCX na nakipag-ugnayan ito sa mga cybersecurity firm upang imbestigahan ang paglabag at subaybayan ang paggalaw ng mga ninakaw na asset. Nakikipagtulungan ang kumpanya sa hindi pinangalanang partner exchange upang i-freeze ang mga pondo kung posible. Ang isang bug bounty program ay ginagawa din, na naglalayong tukuyin ang mga kahinaan bago sila mapakinabangan ng mga umaatake.

Sa kabila ng paglabag, pinananatili ng CoinDCX na maayos ang mga sistema nito. Ang kumpanya ay matagal nang nag-claim na gumamit ng isang multi-layered na arkitektura ng seguridad. Ang mga pondo ay ipinamamahagi sa iba't ibang mga wallet at tagapag-alaga. 

Ang buwanang proof-of-reserve na mga ulat ay naging pundasyon ng transparency policy ng exchange. Mayroon ding compensation fund na nilalayon upang masakop ang mga user sa kaso ng mga emerhensiya—bagama't sa kasong ito, hindi naapektuhan ang mga pondo ng customer.

Itinatag noong 2018, mabilis na bumangon ang CoinDCX upang maging unang crypto unicorn ng India noong 2021 pagkatapos makalikom ng $90 milyon sa $1.1 bilyong valuation. Noong 2022, ang isa pang $135 milyon na round ay halos nadoble ang halaga nito sa $2.15 bilyon.

Noong Hulyo 2024, nakuha ng CoinDCX ang BitOasis na nakabase sa Dubai, isang hakbang na nagpahiwatig ng layunin ng kumpanya na maging pandaigdigan. Ang kamakailang paglabag, gayunpaman, ay nagbibigay ng anino sa mga ambisyong ito. 

Isang Pag-iingat na Sandali para sa Indian Crypto

Ang hack ay dumating halos eksaktong isang taon pagkatapos ng pagbagsak ng WazirX, isa pang nangungunang Indian exchange na nawalan ng $230 milyon sa isang paglabag na nauugnay sa Lazarus Group ng North Korea. Ang pag-atake na iyon ay humantong sa pagsasara ng platform at isang nabigong plano sa muling pagsasaayos, na may $3 milyon lamang na nabawi hanggang sa kasalukuyan.

Bagama't hindi malinaw kung ang CoinDCX hack ay naka-link sa parehong mga aktor, ang mga pagkakatulad ay kapansin-pansin: isang paglabag sa pagpapatakbo ng account, naantalang pagsisiwalat, at pag-asa sa Tornado Cash. Sa ngayon, walang grupo ng nation-state ang sinisisi.

Isang Suliranin ng Sentralisasyon

Bagama't iginigiit ng CoinDCX ang matibay nitong arkitektura, ang insidente ay nagpapakita ng malaking kahinaan sa kung paano pinamamahalaan ng mga sentralisadong palitan ang mga operational wallet. Ang nakompromisong account ay ginamit lamang para sa pagkatubig sa isang platform ng kasosyo, ngunit mayroon itong sampu-sampung milyong dolyar—sapat na upang maakit ang mga sopistikadong umaatake.

Dagdag pa sa pagpuna ay ang mahigpit na patakaran sa withdrawal ng crypto ng CoinDCX. Ang mga gumagamit ay hindi maaaring mag-withdraw ng mga pondo bilang default. Sa halip, ang mga withdrawal ay pinapayagan lamang pagkatapos ng panloob na pagsusuri batay sa mga pagtatasa ng panganib. Ang sentralisadong kontrol na ito ay nagdulot ng debate sa loob ng Indian crypto community tungkol sa awtonomiya at transparency ng user.

Sa isang Reddit AMA noong Mayo, ipinagtanggol ni Gupta ang patakarang ito sa pagsasabing pinipigilan nito ang iligal na paggalaw ng pondo. Minaliit din niya ang posibilidad ng isang WazirX-style na pag-atake sa CoinDCX, na binabanggit ang mga layer ng seguridad, panloob na pag-audit, at mga pamantayan sa pagsunod. Ang pinakahuling insidenteng ito ay naglagay sa mga claim na iyon sa ilalim ng pagsisiyasat.

Pagtanggi sa pananagutan

Disclaimer: Ang mga pananaw na ipinahayag sa artikulong ito ay hindi kinakailangang kumakatawan sa mga pananaw ng BSCN. Ang impormasyong ibinigay sa artikulong ito ay para sa mga layuning pang-edukasyon at libangan lamang at hindi dapat ituring bilang payo sa pamumuhunan, o anumang uri ng payo. Walang pananagutan ang BSCN para sa anumang desisyon sa pamumuhunan na ginawa batay sa impormasyong ibinigay sa artikulong ito. Kung naniniwala kang dapat baguhin ang artikulo, mangyaring makipag-ugnayan sa koponan ng BSCN sa pamamagitan ng pag-email [protektado ng email].

may-akda

Soumen Datta

Si Soumen ay isang crypto researcher mula noong 2020 at mayroong master's sa Physics. Ang kanyang pagsulat at pananaliksik ay nai-publish ng mga publikasyon tulad ng CryptoSlate at DailyCoin, pati na rin ng BSCN. Kabilang sa kanyang mga pinagtutuunan ng pansin ang Bitcoin, DeFi, at mga high-potential altcoins tulad ng Ethereum, Solana, XRP, at Chainlink. Pinagsasama niya ang analytical depth sa journalistic na kalinawan upang maghatid ng mga insight para sa parehong mga bagong dating at napapanahong mga mambabasa ng crypto.

(Advertisement)

Pinakabagong Balita

Nobyembre 8, 2025

Pagsusuri sa Presyo ng Telcoin (TEL): Nagpapatuloy ang Kahinaan ng Market habang Lumalaban ang TEL na Hawak ang Pangunahing Suporta

Nobyembre 7, 2025

Binance Naging Sei Network Validator

Nobyembre 7, 2025

Ang Trump-Linked WLFI ay Nakipagsanib-puwersa Sa Bonk At Raydium Upang Palawakin ang USD1 Sa Solana

Nobyembre 7, 2025

Ano ang Openmind: Paggalugad sa AI Platform Enhancing Real-world Intelligence gamit ang OM1 OS nito

Nobyembre 7, 2025

Ang Bagong Mysticeti v2 Consensus Engine ng Sui Network: Ano ito at Bakit Ito Mahalaga?

Nobyembre 7, 2025

Binance at Buenos Aires Inilunsad ang Pinagsanib na Pagsisikap na Bumuo ng Pinansyal na Pagsasama sa Pamamagitan ng Crypto

Nobyembre 6, 2025

Tumaas ang Interes ng Solana ETF sa gitna ng Pagbaba ng Market: Key Performance Update

Nobyembre 6, 2025

BNB Chain × YZi Labs Local Hack Series Naging Live: Mga Detalye

(Advertisement)

Pinakabagong Crypto News

Kumuha ng up to date sa mga pinakabagong balita at kaganapan sa crypto

Tingnan lahatkarapatan

Sumali sa aming newsletter

Mag-sign up para sa pinakamagandang tutorial at pinakabagong balita sa Web3.

Mag-subscribe Narito!
BSCN

BSCN

BSCN RSS Feed

Ang BSCN ang iyong patutunguhan para sa lahat ng bagay na crypto at blockchain. Tuklasin ang pinakabagong balita sa cryptocurrency, pagsusuri sa merkado at pananaliksik, na sumasaklaw sa Bitcoin, Ethereum, altcoins, memecoins, at lahat ng nasa pagitan.

Balita

BitcoinEthereumSolanaBNBPI NetworkAltcoinsMga Memecoin

Tungkol sa Kami

Makipag-ugnayan sa aminTungkol sa aminPribadong PatakaranMga palatuntunan

© 2025 BSCN. Lahat ng karapatan ay nakalaan.