El CEO de CoinDCX culpa a una "brecha en el servidor" por el exploit de $44 millones; la firma india cubrirá las pérdidas

Un año después de que un exploit de 230 millones de dólares hundiera el exchange de criptomonedas indio WazirX, otro exchange indio prominente, CoinDCX, perdió alrededor de 44 millones de dólares en un importante hackeo.

El ataque tuvo lugar la madrugada del sábado en la India, y fue identificado por primera vez por el detective de blockchain ZachXBT unas 17 horas después de que comenzara. ZachXBT alertó a sus seguidores sobre la brecha tras identificar manualmente la wallet afectada como perteneciente a CoinDCX. "La dirección del atacante fue financiada con 1 ETH de Tornado Cash y posteriormente transfirió una parte de los fondos robados de Solana a Ethereum", escribió ZachXBT.

A los 10 minutos de la publicación de ZachXBT, el CEO de CoinDCX, Sumit Gupta, confirmó el hackeo en una publicación en X, culpando a una "sofisticada brecha en el servidor" que comprometió una cuenta utilizada para el aprovisionamiento de liquidez en un exchange asociado. Ningún fondo de clientes se vio afectado, dijo Gupta, prometiendo que el exchange cubriría la pérdida con sus propias reservas de tesorería.

"Estamos colaborando con el exchange asociado para bloquear y recuperar activos, incluyendo la creación de un programa de recompensas por errores pronto", escribió Gupta. "Confirmo que las wallets de CoinDCX utilizadas para almacenar los activos de los clientes no se han visto afectadas y están completamente seguras".

El ataque se produjo aproximadamente un año después de que un hackeo masivo de 230 millones de dólares hundiera WazirX, antiguamente el mayor exchange de criptomonedas de la India, el 18 de julio de 2024. El exchange dejó de operar tras el exploit y, el mes pasado, un tribunal de Singapur rechazó su plan de reestructuración propuesto. Los investigadores on-chain finalmente señalaron al Lazarus Group, patrocinado por el Estado de Corea del Norte, como responsable del ataque; actualmente no está claro si el mismo grupo está detrás del exploit de CoinDCX.

CoinDCX se convirtió en el primer unicornio cripto de la India en 2021 tras recaudar 90 millones de dólares con una valoración de 1.100 millones de dólares; al año siguiente, recaudó otros 135 millones de dólares, casi duplicando su valoración hasta los 2.150 millones de dólares, según informó anteriormente The Block. CoinDCX adquirió la plataforma BitOasis, con sede en Dubái, en julio de 2024, preparando el terreno para sus planes de expansión internacional.

CoinDCX se ha enfrentado a quejas de clientes en el pasado debido a su postura restrictiva sobre los retiros de criptomonedas: los usuarios no tienen permitido retirar criptomonedas del exchange por defecto, pero se les puede conceder la capacidad después de una revisión interna por parte del equipo de CoinDCX.

"Los retiros de criptomonedas no están habilitados por defecto, ya que pueden suponer un riesgo de movimiento ilícito de fondos", escribió Gupta en mayo como parte de una sesión de preguntas y respuestas en Reddit. "Sin embargo, habilitamos esta función para los usuarios que cumplen con nuestra evaluación interna de riesgos y los criterios de diligencia debida mejorada en línea con nuestra política de riesgos".

Cuando se le preguntó sobre el hackeo de WazirX en Reddit, Gupta dijo que confiaba en que un incidente similar no ocurriría en CoinDCX. Gupta señaló el "marco robusto y multicapa para salvaguardar los criptoactivos" de CoinDCX con fondos distribuidos en múltiples wallets y custodios, un fondo creado para compensar a los usuarios en caso de una brecha, los informes mensuales de prueba de reservas de la empresa, y sus medidas de seguridad y cumplimiento normativo como razones por las que su exchange está protegido contra un gran exploit.

El fondo destinado a compensar a los usuarios en caso de una brecha tiene alrededor de 7 millones de dólares, según la publicación más reciente de prueba de reservas de CoinDCX. El exchange dijo que sus tenencias totales estaban valoradas en 584,2 millones de dólares, con casi 20 millones de usuarios registrados, a partir de junio.