El exchange de criptomonedas indio CoinDCX ofrece una recompensa de hasta el 25%, de un fondo de 11 millones de dólares, a cualquiera que ayude a recuperar cualquier monto del drenaje de 44,2 millones de dólares de su tesorería interna el 19 de julio de 2025.
Como anunciaron los cofundadores del exchange el lunes, la compañía lanzó un Programa de Recompensas de Recuperación formal para recuperar los activos digitales robados, además de identificar dent procesar a los responsables.
La brecha fue detectada inicialmente por la plataforma de seguridad blockchain Cyvers Alerts, que explicó cómo el hacker extrajo fondos de las billeteras operativas internas de CoinDCX. Según la plataforma, estas billeteras se utilizaban únicamente para el aprovisionamiento de liquidez en una plataforma asociada.
Los cofundadores Sumit Gupta y Neeraj Khandelwal también reiteraron que el exploit no afectó los fondos de los usuarios.
Ataque financiado por hackers a través de Tornado Cash
Según Cyvers Alerts, el atacante inició el exploit transfiriendo 1 ETH a través de Tornado Cash, un mezclador de criptomonedas vinculado al lavado de activos robados. Poco después de la transacción de financiación, aproximadamente 15,8 millones de dólares de las criptomonedas robadas se transfirieron a Ethereum mediante protocolos entre cadenas.
El detective de seguridad blockchain ZachXBT tracla billetera de destinodenten Etherscan como 0xEF0c5b9E0E9643937D75C229648158584A8CD8D2. Desde entonces, esta billetera ha recibido más de 12 144 ETH, equivalentes a más de 46 millones de dólares al precio actual de 3818 dólares por moneda.
Los datos de Etherscan revelan que la billetera del hacker realizó al menos diez transacciones Ethereum desde el 19 de julio. Entre ellas, una importante transferencia de 674,63 ETH tuvo lugar aproximadamente seis horas antes del momento de escribir este artículo, con origen en la dirección 0xac1891c1…83eC75bEC.
El mismo remitente también transfirió 10 ETH y 7.017 ETH en transacciones separadas dentro del mismo período de tiempo.
Hace dos días se transfirieron 4443 ETH a la billetera, probablemente como parte del exploit inicial. La misma dirección de remitente estuvo involucrada en múltiples interacciones con la billetera que ahora contiene los fondos robados.
Al momento de publicar este artículo, la billetera en cuestión contiene exactamente 12,144.63 ETH y no hay otros tokens adicionales incluidos en su perfil de activo.
Se cuestiona la transparencia de CoinDCX
Según un comunicado publicado hoy por la plataforma de intercambio, los fondos explotados provenían exclusivamente de la tesorería corporativa de CoinDCX y no de las tenencias de los clientes. "La exposición provino de nuestras propias reservas, y ya la hemos absorbido a través de nuestra tesorería corporativa", se lee en el comunicado de prensa.
La plataforma comercial agregó que ha comenzado a revisar los marcos de seguridad y a rediseñar partes de la arquitectura de su sistema.
“ Nuestros sistemas de billetera nunca se vieron comprometidos, pero aún así hemos ido más allá, reforzando la seguridad y rediseñando partes de nuestra infraestructura para garantizar que esto nunca vuelva a suceder ”, escribió.
La iniciativa de recuperación ha recibido el apoyo de la Fundación Solana , Superteam y los socios del puente Wormhole y deBridge.
“ El ciberdelito es un ataque a la confianza. Y cuando uno de nosotros es el objetivo, todos lo sentimos ”, declaró Khandelwal en su discurso público en X. “ Lo importante para nosotros es identificar dent atrapar a los atacantes, porque este tipo de cosas no deberían volver a ocurrir, ni con nosotros ni con nadie en la industria ”.
CoinDCX elogió a empresas de ciberseguridad y entidades de análisis forense de blockchain, como Sygnia, zeroShadow y Seal911, por su colaboración en su investigación en curso. Sin embargo, como informó ZackXBT en su canal de Telegram, su responsable de marketing, Suchit Karande, pidió a los miembros de la comunidad en Discord que participaran en la publicación de Sumit Gupta agradeciéndole su transparencia
CoinDCX guardó silencio durante aproximadamente 17 horas tras el exploit y no emitió comentarios públicos durante las primeras horas del ataque . Durante ese tiempo, según afirma ZachXBT, los fondos robados se movieron activamente entre varias billeteras y redes en transacciones calculadas.
En su canal de Telegram, compartió un diagrama de flujo de TRM Labs que muestra el destino de los activos robados. Según el análisis, tres direcciones participaron en el movimiento de los fondos: la billetera de Solana6peRRbTz28xofaJPJzEkxnpcpR5xhYsQcmJHQFdP22n, la dirección Bitcoin 3btch8cSVp3Uh2SiY9DeiRNYUBmFiBNHZQzDyecJs7Gu y, por último, la billetera Ethereum 0xEF0c5b9E0E9643937D75C229648158584A8CD8D2.
