230 milyon dolarlık bir istismarın Hint kripto borsası WazirX'i çökertmesinden bir yıl sonra, bir başka önde gelen Hint borsası olan CoinDCX, önemli bir hack sonucu yaklaşık 44 milyon dolar kaybetti.

Saldırı, Hindistan'da Cumartesi sabahı erken saatlerde gerçekleşti ve ilk olarak blockchain dedektifi ZachXBT tarafından başladıktan yaklaşık 17 saat sonra tespit edildi. ZachXBT, etkilenen cüzdanı manuel olarak CoinDCX'e ait olarak tanımladıktan sonra ihlali takipçilerine bildirdi. ZachXBT, "Saldırganın adresi Tornado Cash'ten 1 ETH ile finanse edildi ve daha sonra çalınan fonların bir kısmı Solana'dan Ethereum'a köprülendi" diye yazdı.

ZachXBT'nin gönderisinden 10 dakika sonra CoinDCX CEO'su Sumit Gupta, X'te bir gönderiyle hack'i doğruladı ve bir ortak borsada likidite sağlamak için kullanılan bir hesabı tehlikeye atan "gelişmiş bir sunucu ihlalini" suçladı. Gupta, hiçbir müşteri fonunun etkilenmediğini ve borsanın zararı kendi hazine rezervlerinden karşılayacağını taahhüt etti.

Gupta, "Varlıkları engellemek ve kurtarmak için borsa ortağıyla işbirliği yapıyoruz, yakında bir hata ödül programı da başlatacağız" diye yazdı. "Müşteri varlıklarını depolamak için kullanılan CoinDCX cüzdanlarının etkilenmediğini ve tamamen güvende olduğunu teyit ederim."

Saldırı, eski Hindistan'ın en büyük kripto borsası olan WazirX'in 18 Temmuz 2024'te 230 milyon dolarlık büyük bir hack ile çökertilmesinden yaklaşık bir yıl sonra geldi. Borsa, istismardan sonra faaliyetlerini durdurdu ve geçen ay Singapur mahkemesi önerilen yeniden yapılandırma planını reddetti. Zincir üstü araştırmacılar sonunda Kuzey Kore'nin devlet destekli Lazarus Group'unu saldırıdan sorumlu tuttu; aynı grubun CoinDCX istismarının arkasında olup olmadığı şu anda belirsiz.

CoinDCX, 2021'de 1,1 milyar dolarlık değerlemeyle 90 milyon dolar topladıktan sonra Hindistan'ın ilk kripto tek boynuzlu atı oldu; The Block'un daha önce bildirdiği gibi, ertesi yıl 135 milyon dolar daha toplayarak değerlemesini neredeyse ikiye katlayarak 2,15 milyar dolara çıkardı. CoinDCX, Temmuz 2024'te Dubai merkezli platform BitOasis'i satın alarak uluslararası genişleme planları için zemin hazırladı.

CoinDCX, geçmişte kripto para çekme konusundaki kısıtlı duruşu nedeniyle müşterilerden şikayetler aldı: kullanıcıların varsayılan olarak borsadan kripto çekmelerine izin verilmiyor, ancak CoinDCX ekibi tarafından dahili incelemeden sonra bu yetenek verilebiliyor.

Gupta, Mayıs ayında bir Reddit bana-her-şeyi-sor oturumunun bir parçası olarak, "Kripto para çekme işlemleri, yasa dışı fon hareketleri riski oluşturabileceğinden varsayılan olarak etkinleştirilmemiştir" diye yazdı. "Ancak, risk politikamıza uygun olarak dahili risk değerlendirmemizi ve geliştirilmiş durum tespiti kriterlerimizi karşılayan kullanıcılar için bu özelliği etkinleştiriyoruz."

Reddit'te WazirX hack'i sorulduğunda Gupta, benzer bir olayın CoinDCX'te yaşanmayacağından emin olduğunu söyledi. Gupta, CoinDCX'in "kripto varlıklarını korumak için çok katmanlı, sağlam çerçevesine", fonların birden fazla cüzdan ve saklayıcıya dağıtılmasına, bir ihlal durumunda kullanıcıları tazmin etmek için kurulan bir fona, firmanın aylık rezerv kanıtı raporlarına ve borsasının büyük bir istismara karşı korunmasının nedenleri olarak güvenlik önlemlerine ve mevzuata uyumuna işaret etti.

CoinDCX'in en son rezerv kanıtı gönderisine göre, bir ihlal durumunda kullanıcıları tazmin etmesi amaçlanan fon yaklaşık 7 milyon dolar değerinde. Borsa, Haziran ayı itibarıyla toplam varlıklarının 584,2 milyon dolar değerinde olduğunu ve yaklaşık 20 milyon kayıtlı kullanıcısı olduğunu söyledi.