CoinDCX, el segundo mayor intercambio de criptomonedas de la India, ha confirmado una sofisticada violación de seguridad el 19 de julio de 2025, resultando en el robo de aproximadamente $44.2 millones de su plataforma. Este incidente se produce exactamente un año después del ataque a WazirX, que costó a los inversores $235 millones, lo que subraya una vez más las vulnerabilidades en la infraestructura criptográfica de la India.
Detalles del Ataque y Modus Operandi
Según Firstpost, el ataque se dirigió a una cuenta operativa interna de CoinDCX, utilizada exclusivamente para el aprovisionamiento de liquidez en intercambios asociados. Sumit Gupta, cofundador y CEO de CoinDCX, confirmó que los atacantes explotaron una vulnerabilidad del lado del servidor para obtener acceso no autorizado a la infraestructura de la plataforma. El incidente fue inicialmente detectado por el hacker ético ZachXBT a través de Telegram, y la confirmación oficial por parte de CoinDCX se produjo 17 horas después.
Los fondos robados, principalmente monedas estables, fueron transferidos sistemáticamente de la blockchain de Solana a Ethereum. Un análisis de seguridad reveló que el atacante había prefinanciado su billetera con 1 ETH a través de Tornado Cash, un servicio de mezcla de criptomonedas diseñado para ofuscar las transacciones. Posteriormente, los fondos fueron canalizados a través de múltiples interacciones de contratos inteligentes antes de ser blanqueados a través de intercambios descentralizados, lo que complica significativamente los esfuerzos de recuperación.
Vulnerabilidades de las Billeteras Calientes y Medidas de Seguridad de CoinDCX
Este ataque resalta las vulnerabilidades inherentes a las billeteras activas (hot wallets), que, a diferencia de las billeteras de almacenamiento en frío (cold wallets), mantienen una conexión constante a Internet para la gestión de liquidez. La violación se produjo a través de una clave privada comprometida, lo que permitió a los atacantes autorizar transacciones desde la billetera afectada sin activar protocolos de seguridad de firmas múltiples.
CoinDCX ha enfatizado que los fondos de los clientes permanecen seguros en sistemas de almacenamiento en frío segregados, protegidos por módulos de seguridad de hardware (HSM) y autenticación de firmas múltiples. El intercambio suspendió temporalmente sus servicios Web3 e integraciones DeFi como medida de precaución mientras realizaba un análisis forense. Las operaciones comerciales se reanudaron en pocas horas, con protocolos de monitoreo mejorados implementados en todos los puntos finales API y sistemas de validación de transacciones.
Implicaciones y Recomendaciones
Este incidente pone de manifiesto brechas de seguridad críticas en el ecosistema de criptomonedas de la India, donde la supervisión regulatoria sigue siendo limitada. El patrón de ataque es similar a violaciones anteriores de intercambios de criptomonedas, como las atribuidas a grupos de hackers norcoreanos como Lazarus Group, vinculados a robos de más de $2 mil millones en criptomonedas a nivel global.
CoinDCX ha presentado una FIR (First Information Report) ante las autoridades locales y ha contratado a empresas líderes en ciberseguridad para fortalecer su infraestructura. El intercambio está implementando capas de seguridad adicionales, incluyendo una arquitectura de confianza cero, sistemas mejorados de detección de intrusiones y protocolos de segregación de billeteras. Expertos de la industria recomiendan la implementación de cobertura de seguro obligatoria y auditorías de seguridad estandarizadas para todas las plataformas de criptomonedas que operan en la India, con el fin de prevenir incidentes similares y proteger los intereses de los inversores.
