Взлом CoinDCX на $44 млн приписали хакерам из Lazarus Group

Кибератака на индийскую криптобиржу CoinDCX с ущербом в $44,2 млн связана с северокорейской группировкой Lazarus Group. Об этом пишет CryptoSlate со ссылкой на CEO Cyvers Дедди Лавида.

Эксперт отметил, что злоумышленники действовали по схеме, очень схожей с предыдущими операциями хакеров из КНДР. Одной из отличительных черт их тактики является использование криптомиксера Tornado Cash и кроссчейн-мостов для сокрытия путей движения средств.

19 июля в CoinDCX сообщили о компрометации внутреннего счета, используемого для предоставления ликвидности на сторонней платформе. 

Лавид предположил, что злоумышленники получили доступ к бэкенду через открытые API-ключи, неправильные настройки системы или уязвимости в разрешениях для учетных данных. Проникнув в систему, они использовали легитимные привилегии счета для перевода активов из Solana в Ethereum, а затем отмывали средства через Tornado Cash.

Продуманность атаки и глубокое знание механизмов предоставления ликвидности на централизованных криптоплатформах также являются характерными признаками деятельности опытных и хорошо скоординированных киберпреступников, считает Лавид.

Соучредитель CoinDCX Сумит Гупта подтвердил, что активы пользователей при взломе не пострадали. Весь ущерб компания уже возместила из собственных средств.

Биржа объявила баунти-программу, в рамках которой предложила вознаграждение в 25% от любых возмещенных сумм. Команда рассчитывает на любое содействие не только в отслеживании активов, но и в идентификации причастных к атаке лиц. 

«Для нас важнее не просто вернуть украденные средства, но также выявить и поймать злоумышленников, потому что подобные вещи не должны повториться ни с нами, ни с кем-либо еще в этой индустрии», — подчеркнул Гупта.

Напомним, за крупнейшим в истории отрасли взломом биржи Bybit на ~$1,5 млрд в феврале также стоит Lazarus. Выводы экспертов подтвердили в ФБР.