Le 19 juillet 2025, CoinDCX — le plus grand échange de cryptomonnaies d'Inde — a subi une brèche côté serveur qui a drainé environ 44 millions de dollars d'un compte interne de provisionnement de liquidité utilisé pour maintenir des réserves de routage des transactions clients via un échange partenaire. Les actifs clients en cold storage n'ont pas été touchés ; CoinDCX a absorbé la perte depuis sa propre trésorerie.
Ce qui s'est passé
Le co-fondateur de CoinDCX Sumit Gupta a décrit l'incident comme une « brèche serveur sophistiquée » ciblant l'infrastructure adjacente à un seul compte opérationnel interne plutôt que le système de garde principal. Le compte compromis existait pour provisionner la liquidité à un échange partenaire pour le routage des trades clients ; il détenait un capital significatif mais était opérationnellement isolé de la garde client par conception.
Le schéma de brèche correspond aux opérations récentes alignées sur des États contre les opérateurs d'échange de moyen rang : compromission côté serveur d'un chemin d'identifiants, retrait programmatique des holdings du compte ciblé, conversion inter-chaînes immédiate pour obscurcir le traçage. CoinDCX n'a pas publiquement attribué l'attaque, bien que la signature de blanchiment on-chain ait été compatible avec les opérations récurrentes Lazarus / alignées sur la Corée du Nord ciblant les échanges indiens et sud-est asiatiques.
L'histoire a éclaté publiquement quand ZachXBT a posté les mouvements de wallet sur sa chaîne Telegram ; la divulgation officielle de CoinDCX est venue après — un schéma récurrent dans les brèches d'échanges devenu une incitation significative à une divulgation plus rapide.
Conséquences
- Les soldes clients sont restés intacts, les actifs en cold storage n'étant pas affectés.
- CoinDCX a lancé une prime de récupération allant jusqu'à 25 % des actifs récupérés (potentiellement jusqu'à 11 M$) pour aide au traçage ou à la récupération des fonds volés.
- Un employé de CoinDCX a été arrêté fin juillet dans le cadre de l'enquête, bien que la firme n'ait pas caractérisé publiquement le rôle exact de l'employé dans la brèche.
- La direction de l'échange a déclaré qu'elle avait absorbé la perte complète depuis la trésorerie d'entreprise et restait bien capitalisée.
Pourquoi c'est important
CoinDCX fait partie d'un schéma émergent en sécurité des échanges 2024-2025 où la surface d'attaque s'est déplacée des « wallets clients » vers les comptes opérationnels utilisés pour le routage de liquidité inter-échanges. Ces comptes sont par conception détenus dans des hot wallets, sont accessibles à une population plus large de personnel interne que les systèmes de garde principaux, et ont souvent des limites de vélocité plus laxistes pour supporter les opérations normales de rééquilibrage de liquidité. Les réponses défensives — isolation HSM stricte des comptes opérationnels, détection d'anomalies par compte, multi-sig sur les soldes opérationnellement significatifs — ne sont pas encore universellement implémentées.
Le cas illustre aussi le problème de rythme de divulgation : quand ZachXBT révèle un échange avant sa propre divulgation, l'échange perd le contrôle du récit et accélère l'inquiétude légitime des utilisateurs. Une divulgation proactive plus rapide est, de plus en plus, la stratégie dominante pour les échanges qui survivent à ces incidents.
Sources & preuves on-chain
- [01]techcrunch.comhttps://techcrunch.com/2025/07/21/indian-crypto-exchange-coindcx-confirms-44-million-stolen-during-hack/
- [02]coindesk.comhttps://www.coindesk.com/web3/2025/07/19/indian-crypto-exchange-coindcx-suffers-44m-hack
- [03]halborn.comhttps://www.halborn.com/blog/post/explained-the-coindcx-hack-july-2025