El 19 de julio de 2025, CoinDCX — el mayor exchange de criptomonedas de India — sufrió una brecha del lado del servidor que drenó aproximadamente 44 millones de dólares de una cuenta interna de provisión de liquidez utilizada para mantener reservas para enrutar transacciones de clientes a través de un exchange socio. Los activos de clientes en almacenamiento en frío quedaron intactos; CoinDCX absorbió la pérdida desde su propia tesorería.
Qué ocurrió
El cofundador de CoinDCX Sumit Gupta describió el incidente como una "brecha sofisticada del servidor" dirigida a infraestructura adyacente a una sola cuenta operativa interna en lugar del sistema principal de custodia. La cuenta comprometida existía para proveer liquidez a un exchange socio para enrutar trades de clientes; mantenía capital significativo pero estaba operativamente aislada del almacenamiento en frío de clientes por diseño.
El patrón de brecha coincide con operaciones recientes alineadas con estados contra operadores de exchanges de gama media: compromiso del lado del servidor de una ruta de credenciales, retirada programática de las tenencias de la cuenta objetivo, conversión cross-chain inmediata para oscurecer el rastreo. CoinDCX no atribuyó públicamente el ataque, aunque la firma de blanqueo on-chain era consistente con operaciones recurrentes alineadas con Lazarus / Corea del Norte dirigidas a exchanges indios y del sudeste asiático.
La historia se hizo pública cuando ZachXBT posteó los movimientos de wallet en su canal de Telegram; la divulgación oficial de CoinDCX llegó después — un patrón recurrente en brechas de exchanges que se ha convertido en un incentivo significativo para una divulgación más rápida.
Consecuencias
- Los saldos de clientes permanecieron intactos, con activos en almacenamiento en frío no afectados.
- CoinDCX lanzó una recompensa de recuperación de hasta el 25% de los activos recuperados (potencialmente hasta $11M) por ayuda en el rastreo o recuperación de los fondos robados.
- Un empleado de CoinDCX fue arrestado a finales de julio como parte de la investigación, aunque la firma no caracterizó públicamente el rol exacto del empleado en la brecha.
- El liderazgo del exchange declaró que había absorbido la pérdida completa desde la tesorería corporativa y permanecía bien capitalizado.
Por qué importa
CoinDCX es parte de un patrón emergente en la seguridad de exchanges 2024-2025 donde la superficie de ataque ha cambiado de "wallets de clientes" a cuentas operativas usadas para enrutamiento de liquidez entre exchanges. Estas cuentas están por diseño en hot wallets, son accesibles a una población más amplia del personal interno que los sistemas centrales de custodia, y a menudo tienen límites de velocidad más laxos para apoyar las operaciones normales de rebalanceo de liquidez. Las respuestas defensivas — aislamiento estricto en HSM de cuentas operativas, detección de anomalías por cuenta, multi-sig en saldos operativamente significativos — aún no se implementan universalmente.
El caso también ilustra el problema del ritmo de divulgación: cuando ZachXBT expone un exchange antes de su propia divulgación, el exchange pierde el control de la narrativa y acelera la preocupación legítima del usuario. La divulgación proactiva más rápida es, cada vez más, la estrategia dominante para los exchanges que sobreviven a estos incidentes.
Fuentes y evidencia on-chain
- [01]techcrunch.comhttps://techcrunch.com/2025/07/21/indian-crypto-exchange-coindcx-confirms-44-million-stolen-during-hack/
- [02]coindesk.comhttps://www.coindesk.com/web3/2025/07/19/indian-crypto-exchange-coindcx-suffers-44m-hack
- [03]halborn.comhttps://www.halborn.com/blog/post/explained-the-coindcx-hack-july-2025