2億3000万ドルの不正利用によりインドの暗号資産取引所WazirXが閉鎖されてから1年後、別の著名なインドの取引所CoinDCXが大規模なハッキングにより約4400万ドルを失いました。

攻撃はインドで土曜日の早朝に発生し、ブロックチェーン探偵のZachXBTによって開始から約17時間後に最初に特定されました。ZachXBTは、影響を受けたウォレットがCoinDCXに属するものだと手動で特定した後、フォロワーに違反を通知しました。「攻撃者のアドレスはTornado Cashから1 ETHで資金提供を受け、その後、盗まれた資金の一部をSolanaからEthereumにブリッジしました」とZachXBTは書いています。

ZachXBTの投稿から10分以内に、CoinDCXのCEOであるSumit GuptaはXへの投稿でハッキングを確認し、パートナー取引所での流動性供給に使用されるアカウントを侵害した「高度なサーバー侵害」を非難しました。顧客の資金は影響を受けていないとGuptaは述べ、取引所が独自の財務準備金から損失を補填することを約束しました。

「バグ報奨金プログラムの開始を含め、資産をブロックおよび回収するために取引パートナーと協力しています」とGuptaは書いています。「顧客資産の保管に使用されるCoinDCXウォレットは影響を受けておらず、完全に安全であることを確認します。」

この攻撃は、2024年7月18日に、かつてインド最大の暗号資産取引所であったWazirXが2億3000万ドルの大規模なハッキングに見舞われてから約1年後に発生しました。取引所は不正利用後に運営を停止し、先月、シンガポールの裁判所は提案された再編計画を却下しました。オンチェーン調査官は最終的に北朝鮮の国家が支援するLazarus Groupを攻撃の首謀者として指摘しました。CoinDCXの不正利用の背後に同じグループがいるかどうかは現在不明です。

CoinDCXは、2021年に9000万ドルを調達し、11億ドルの評価額でインド初の暗号資産ユニコーンになりました。翌年、さらに1億3500万ドルを調達し、評価額をほぼ2倍の21億5000万ドルに引き上げたと、The Blockは以前に報じました。CoinDCXは2024年7月にドバイを拠点とするプラットフォームBitOasisを買収し、国際的な拡大計画の舞台を整えました。

CoinDCXは過去に、暗号資産の引き出しに対する制限的な姿勢のために顧客から苦情を受けていました。ユーザーはデフォルトで取引所から暗号資産を引き出すことは許可されていませんが、CoinDCXのチームによる内部審査の後、許可される場合があります。

「暗号資産の引き出しは、不正な資金移動のリスクがあるため、デフォルトでは有効になっていません」とGuptaは5月にRedditの質疑応答セッションの一環として書いています。「ただし、リスクポリシーに沿って、内部リスク評価と強化されたデューデリジェンス基準を満たすユーザーには、この機能を有効にしています。」

RedditでWazirXのハッキングについて尋ねられたとき、Guptaは同様の事件がCoinDCXで発生することはないと確信していると述べました。Guptaは、複数のウォレットとカストディアンに分散された資金、違反が発生した場合にユーザーに補償するために設立された基金、同社の月次準備金証明レポート、および大規模な不正利用から取引所を保護するセキュリティ対策と規制遵守を備えたCoinDCXの「暗号資産を保護するための堅牢な多層フレームワーク」を指摘しました。

違反が発生した場合にユーザーに補償するための基金には、CoinDCXの最新の準備金証明の投稿によると、約700万ドルがあります。取引所は、6月現在、総保有額は5億8420万ドルと評価され、登録ユーザー数は約2000万人であると述べました。