Spiegazione dell'hack da 44 milioni di dollari di CoinDCX

Una violazione che ha scosso il settore delle criptovalute in India

CoinDCX, uno degli exchange di criptovalute più importanti dell'India, ha confermato una violazione della sicurezza che ha portato al furto di oltre $44 milioni nelle risorse digitali. 

L'exploit ha preso di mira un portafoglio operativo su solario rete utilizzata per l'approvvigionamento di liquidità, non per i portafogli dei clienti. Nonostante la rapidità e la portata dell'attacco, l'azienda insiste nel garantire che i fondi degli utenti rimangano intatti e completamente protetti.

L'incidente è stato inizialmente segnalato non dall'azienda ma dall'investigatore della blockchain Zach XBT, che ha monitorato i movimenti sospetti dei fondi e ha identificato il portafoglio compromesso come appartenente a CoinDCX. La sua rivelazione ha costretto CoinDCX a reagire nel giro di pochi minuti, segnando uno degli incidenti di sicurezza crypto più importanti in India quest'anno.

Come si è svolto l'attacco

Secondo un'azienda di sicurezza on-chain Cyvers, l'attacco è stato ben pianificato ed eseguito con precisione. L'operazione è iniziata già il 16 luglio 2025, con l'invio di 1 ETH da Tornado Cash, un mixer di criptovalute spesso utilizzato per occultare l'origine dei fondi. Questo ETH è stato depositato su FixedFloat, prelevato su Polygon e successivamente trasferito su Solana, dove è stato convertito in SOL per coprire le commissioni di transazione.

Secondo Meir Dolev, fondatore di Cyvers, il 18 luglio, alle 21:07 UTC, l'aggressore ha avviato una transazione di prova con solo 1 USDT. Poi è iniziato il vero exploit. Nell'arco di cinque minuti, l'aggressore ha prosciugato circa 44.2 milioni di dollari in USDT e USDC da uno dei wallet operativi di CoinDCX su Solana.

La sequenza dei prelievi è la seguente:

• 22:09 UTC: 2 milioni di dollari
• 22:10: 7 milioni di dollari
• 22:11: 10 milioni di dollari
• 22:12: 10 milioni di dollari
• 22:13: Due transazioni separate da 5 milioni di dollari ciascuna
• 22:14: Prelievo finale di 5 milioni di dollari

Pochi minuti dopo, sono seguiti trasferimenti di importo inferiore, tra cui 102,000 USDC e 79,000 USDT. Una parte dei fondi rubati, 15.8 milioni di dollari, è stata trasferita da Solana a Ethereum, probabilmente per diversificare i percorsi e complicare il recupero.

CoinDCX risponde

La violazione è giunta all'attenzione del pubblico quando ZachXBT ha condiviso le sue scoperte su Telegram, ottenendo una rapida conferma da parte del CEO di CoinDCX, Sumit Gupta. Ha definito l'incidente una "violazione sofisticata del server" che ha compromesso un singolo account operativo utilizzato con un exchange partner.

È importante che Gupta ha dichiarato che:

• Tutte le risorse dell'utente sono archiviate in cold wallet
• Nessun fondo del cliente è stato interessato
• La piattaforma continua a funzionare normalmente per il trading e i prelievi INR

"L'incidente è stato rapidamente contenuto isolando il conto operativo interessato", ha sottolineato Gupta. "Poiché i nostri conti operativi sono separati dai portafogli dei clienti, l'esposizione è limitata solo a questo conto specifico e viene completamente assorbita da noi, attingendo alle nostre riserve di tesoreria".

Scopri progetti promettenti...

Progetti promettenti...

(Annuncio pubblicitario)

L'articolo continua...

Misure di sicurezza e piani di ripristino in corso

CoinDCX afferma di aver incaricato aziende di sicurezza informatica di indagare sulla violazione e tracciare i movimenti dei beni rubati. L'azienda sta collaborando con l'exchange partner, il cui nome non è stato reso noto, per congelare i fondi ove possibile. È inoltre in fase di sviluppo un programma di bug bounty, volto a identificare le vulnerabilità prima che gli aggressori possano sfruttarle.

Nonostante la violazione, CoinDCX sostiene che i suoi sistemi sono solidi. L'azienda afferma da tempo di utilizzare un'architettura di sicurezza multilivello. I fondi sono distribuiti su diversi portafogli e depositari. 

I report mensili sulla proof-of-reserve sono stati un pilastro della politica di trasparenza dell'exchange. Esiste anche un fondo di compensazione destinato a coprire gli utenti in caso di emergenza, sebbene in questo caso i fondi dei clienti non siano stati interessati.

Fondata nel 2018, CoinDCX è cresciuta rapidamente fino a diventare il primo unicorno crypto indiano nel 2021, dopo aver raccolto 90 milioni di dollari e una valutazione di 1.1 miliardi di dollari. Nel 2022, un altro round da 135 milioni di dollari ha quasi raddoppiato la sua valutazione, portandola a 2.15 miliardi di dollari.

Nel luglio 2024, CoinDCX ha acquisito BitOasis, con sede a Dubai, una mossa che ha segnalato l'intenzione dell'azienda di espandersi a livello globale. La recente violazione, tuttavia, getta un'ombra su queste ambizioni. 

Un momento di cautela per le criptovalute indiane

L'attacco informatico avviene quasi esattamente un anno dopo l' crollo di WazirX, un altro importante exchange indiano che ha perso 230 milioni di dollari a causa di una violazione attribuita al gruppo nordcoreano Lazarus. L'attacco ha portato alla chiusura della piattaforma e al fallimento del piano di ristrutturazione, con soli 3 milioni di dollari recuperati fino ad oggi.

Sebbene non sia chiaro se l'attacco informatico a CoinDCX sia riconducibile agli stessi autori, le somiglianze sono notevoli: una violazione di account operativi, ritardi nella divulgazione e ricorso a Tornado Cash. Finora, nessun gruppo statale è stato ritenuto responsabile.

Un problema di centralizzazione

Sebbene CoinDCX insista sulla sua solida architettura, l'incidente rivela una significativa vulnerabilità nel modo in cui gli exchange centralizzati gestiscono i wallet operativi. L'account compromesso era utilizzato esclusivamente per la liquidità su una piattaforma partner, eppure conteneva decine di milioni di dollari, sufficienti ad attrarre aggressori sofisticati.

Ad aggravare le critiche c'è la politica restrittiva di CoinDCX sui prelievi di criptovalute. Gli utenti non possono prelevare fondi per impostazione predefinita. I prelievi sono invece consentiti solo dopo una revisione interna basata sulla valutazione del rischio. Questo controllo centralizzato ha acceso il dibattito all'interno della comunità crypto indiana sull'autonomia e la trasparenza degli utenti.

In una sessione AMA su Reddit a maggio, Gupta ha difeso questa politica affermando che impedisce il movimento illecito di fondi. Ha anche minimizzato la possibilità di un attacco in stile WazirX a CoinDCX, citando livelli di sicurezza, audit interni e standard di conformità. Quest'ultimo incidente ha messo tali affermazioni sotto esame.