La plateforme indienne d'échange de cryptomonnaies CoinDCX offre une prime pouvant atteindre 25 % d'une enveloppe de 11 millions de dollars à quiconque contribuera à récupérer une partie des 44,2 millions de dollars détournés de sa trésorerie interne le 19 juillet 2025.
Comme l'ont annoncé les cofondateurs de la plateforme lundi, la société a lancé un programme officiel de primes de récupération pour récupérer les actifs numériques volés, en plus d' dent et de poursuivre les responsables.
La faille a été initialement détectée par la plateforme de sécurité blockchain Cyvers Alerts, qui a expliqué comment le pirate a détourné des fonds des portefeuilles opérationnels internes de CoinDCX. Selon la plateforme, ces portefeuilles étaient utilisés uniquement pour l'apport de liquidités sur une plateforme partenaire.
Les cofondateurs Sumit Gupta et Neeraj Khandelwal ont également réaffirmé que cette faille n'avait pas affecté les fonds des utilisateurs.
Attaque financée par un pirate informatique via Tornado Cash
D'après Cyvers Alerts, l'attaquant a initié l'attaque en transférant 1 ETH via Tornado Cash, un service de mixage de cryptomonnaies lié au blanchiment d'actifs volés. Peu après cette transaction, environ 15,8 millions de dollars de cryptomonnaies volées ont été transférés vers Ethereum via des protocoles inter-chaînes.
ZachXBT, expert en sécurité blockchain, a tracle portefeuille de destinationdentsur Etherscan sous l'identifiant 0xEF0c5b9E0E9643937D75C229648158584A8CD8D2. Ce portefeuille a depuis reçu plus de 12 144 ETH, soit l'équivalent de plus de 46 millions de dollars au prix actuel de 3 818 dollars par ETH.
Les données d'Etherscan révèlent que le portefeuille du pirate a effectué au moins dix transactions Ethereum depuis le 19 juillet. Parmi elles, un transfert important de 674,63 ETH a eu lieu environ six heures avant la rédaction de cet article, en provenance de l'adresse 0xac1891c1…83eC75bEC.
Le même expéditeur a également transféré 10 ETH et 7 017 ETH dans des transactions distinctes au cours du même laps de temps.
La somme de 4 443 ETH a été transférée vers ce portefeuille il y a deux jours, probablement lors de l'exploitation initiale de la faille. La même adresse d'expéditeur a été impliquée dans plusieurs transactions avec le portefeuille qui détient désormais les fonds volés.
Au moment de la publication, le portefeuille en question contient exactement 12 144,63 ETH, et aucun autre jeton supplémentaire n'est répertorié dans son profil d'actifs.
La transparence de CoinDCX mise en doute
D'après un communiqué publié aujourd'hui par la plateforme, les fonds détournés provenaient exclusivement de la trésorerie de CoinDCX et non des avoirs des clients. « L'exposition provenait de nos propres réserves, et nous l'avons déjà absorbée via notre trésorerie », précise le communiqué.
La plateforme de trading a ajouté qu'elle avait commencé à remanier ses cadres de sécurité et à repenser certaines parties de son architecture système.
« Nos systèmes de portefeuilles électroniques n'ont jamais été compromis, mais nous avons néanmoins renforcé nos mesures de sécurité et repensé certaines parties de notre infrastructure afin de garantir que cela ne se reproduise plus jamais », a-t-on écrit.
Cette initiative de relance a reçu le soutien de la Fondation Solana , de Superteam et des partenaires de passerelle Wormhole et deBridge.
« La cybercriminalité est une atteinte à la confiance. Et lorsqu'un d'entre nous est visé, nous le ressentons tous », a déclaré Khandelwal lors de son intervention publique sur X. « Il est essentiel pour nous d' dent et d'arrêter les auteurs de ces attaques, car de telles choses ne doivent plus jamais se reproduire, ni avec nous, ni avec personne dans le secteur . »
CoinDCX a salué le travail des entreprises de cybersécurité et des spécialistes de l'analyse forensique de la blockchain, notamment Sygnia, zeroShadow et Seal911, pour leur contribution à son enquête en cours. Cependant, comme l'a rapporté ZackXBT sur sa chaîne Telegram, Suchit Karande, responsable marketing de la marque, incitait les membres de la communauté sur Discord à réagir à la publication de Sumit Gupta le remerciant pour sa « transparence »
CoinDCX est resté silencieux pendant environ 17 heures après l'exploitation de la faille et n'a fait aucun commentaire public durant la première phase de l' attaque . Pendant ce temps, selon ZachXBT, les fonds volés ont été activement transférés entre plusieurs portefeuilles et réseaux via des transactions calculées.
Sur sa chaîne Telegram, il a partagé un organigramme de TRM Labs montrant où les actifs volés ont été transférés. Selon l'analyse, trois adresses étaient impliquées dans le mouvement des fonds : le portefeuille Solana6peRRbTz28xofaJPJzEkxnpcpR5xhYsQcmJHQFdP22n, l'adresse Bitcoin 3btch8cSVp3Uh2SiY9DeiRNYUBmFiBNHZQzDyecJs7Gu et enfin, le portefeuille Ethereum 0xEF0c5b9E0E9643937D75C229648158584A8CD8D2.
