Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 241Kompromittierung privater Schlüssel

CoinDCX Liquiditätskonto-Drain

Angreifer entzogen 44 Mio. USD aus CoinDCXs internem Liquiditätskonto für Partner-Börsenreserven; die Börse absorbierte den Verlust aus dem Treasury.

Datum
Opfer
CoinDCX
Chain(s)
EthereumSolana
Status
Mittel entwendet

Am 19. Juli 2025 erlitt CoinDCX — Indiens größte Kryptobörse — einen serverseitigen Bruch, der etwa 44 Millionen US-Dollar aus einem internen Liquiditätsbereitstellungskonto entzog, das zur Aufrechterhaltung von Reserven für das Routing von Kundentransaktionen durch eine Partnerbörse genutzt wurde. Kunden-Cold-Storage-Assets blieben unangetastet; CoinDCX absorbierte den Verlust aus seinem eigenen Treasury.

Was geschah

CoinDCX-Mitgründer Sumit Gupta beschrieb den Vorfall als „ausgeklügelten Serverbruch", der auf Infrastruktur neben einem einzigen internen operativen Konto zielte und nicht auf das Hauptverwahrungssystem. Das kompromittierte Konto existierte, um Liquidität an eine Partnerbörse für das Routing von Kunden-Trades bereitzustellen; es hielt bedeutsames Kapital, war aber designgemäß operativ von Kunden-Cold-Storage isoliert.

Das Bruchmuster passt zu jüngsten staatlich verbundenen Operationen gegen Mittelklasse-Börsenbetreiber: serverseitige Kompromittierung eines Credentials-Pfads, programmatische Abhebung der Bestände des Zielkontos, sofortige Cross-Chain-Konvertierung zur Verdunkelung des Tracings. CoinDCX schrieb den Angriff nicht öffentlich zu, obwohl die On-Chain-Wäschesignatur konsistent mit wiederkehrenden Lazarus-/Nordkorea-verbundenen Operationen gegen indische und südostasiatische Börsen war.

Die Geschichte brach öffentlich, als ZachXBT die Wallet-Bewegungen in seinem Telegram-Kanal postete; CoinDCXs offizielle Offenlegung kam danach — ein wiederkehrendes Muster bei Börsenbrüchen, das ein bedeutsamer Anreiz für schnellere Offenlegung geworden ist.

Folgen

  • Kundensalden blieben intakt, Cold-Storage-Assets unbeeinflusst.
  • CoinDCX startete eine Recovery-Bounty von bis zu 25% der zurückgewonnenen Assets (potenziell bis zu 11 Mio. USD) für Hilfe beim Tracing oder Rückgewinnen der gestohlenen Mittel.
  • Ein CoinDCX-Mitarbeiter wurde Ende Juli verhaftet als Teil der Untersuchung, obwohl die Firma die genaue Rolle des Mitarbeiters im Bruch nicht öffentlich charakterisierte.
  • Die Führung der Börse erklärte, sie habe den vollen Verlust aus dem Unternehmens-Treasury absorbiert und bleibe gut kapitalisiert.

Warum es wichtig ist

CoinDCX ist Teil eines aufkommenden Musters in der Börsensicherheit 2024-2025, wo die Angriffsfläche von „Kunden-Wallets" zu operativen Konten, die für Inter-Börsen-Liquiditätsrouting genutzt werden gewandert ist. Diese Konten werden designgemäß in Hot Wallets gehalten, sind für eine breitere Population interner Mitarbeiter zugänglich als Kern-Custody-Systeme und haben oft lockerere Velocity-Limits, um normale Liquiditäts-Rebalancing-Operationen zu unterstützen. Die defensiven Antworten — strikte HSM-Isolation operativer Konten, Per-Konto-Anomalieerkennung, Multi-Sig auf operativ signifikanten Salden — sind noch nicht universell implementiert.

Der Fall illustriert auch das Offenlegungs-Tempo-Problem: Wenn ZachXBT eine Börse vor ihrer eigenen Offenlegung outet, verliert die Börse die Kontrolle über die Narrative und beschleunigt legitime Nutzerbedenken. Schnellere proaktive Offenlegung ist zunehmend die dominierende Strategie für Börsen, die diese Vorfälle überleben.

Quellen & On-Chain-Belege

  1. [01]techcrunch.comhttps://techcrunch.com/2025/07/21/indian-crypto-exchange-coindcx-confirms-44-million-stolen-during-hack/
  2. [02]coindesk.comhttps://www.coindesk.com/web3/2025/07/19/indian-crypto-exchange-coindcx-suffers-44m-hack
  3. [03]halborn.comhttps://www.halborn.com/blog/post/explained-the-coindcx-hack-july-2025

Verwandte Einträge