Le 11 septembre 2024, Indodax — le plus grand exchange de cryptomonnaies d'Indonésie — a détecté des sorties non autorisées depuis ses hot wallets. Les pertes totales se sont établies à environ 20 millions de dollars sur Ethereum, BNB Chain, Polygon, Tron et une poignée d'autres réseaux.
Ce qui s'est passé
Indodax n'a pas divulgué publiquement un post-mortem technique complet. La signature on-chain était le pattern désormais familier : activité non autorisée simultanée de hot wallets sur plusieurs chaînes, bridging cross-chain immédiat dans des mixers, et une campagne de blanchiment coordonnée dans les heures qui ont suivi.
Plusieurs cabinets de sécurité ont attribué l'opération à Lazarus / TraderTraitor sur la base de TTPs cohérents avec les attaques Phemex et DMM Bitcoin plus tôt et plus tard la même année. Indodax n'a pas officiellement confirmé l'attribution.
Conséquences
- Indodax a suspendu les opérations pendant environ 24 heures, a fait tourner les clés de hot wallets et a repris le trading avec des soldes reconstitués depuis les réserves internes.
- Les utilisateurs affectés ont été rendus entiers.
- Aucune récupération publique depuis les adresses de l'attaquant.
Pourquoi c'est important
Indodax illustre que 2024 a été l'année où la compromission multi-chaînes de hot wallets est devenue une menace routinière. Cinq incidents d'exchanges de tier moyen en douze mois — BtcTurk, WazirX, BingX, Indodax, DMM Bitcoin — partagent la même empreinte opérationnelle. Le pattern est désormais si bien documenté que les exchanges sans partitionnement HSM par chaîne exécutent effectivement un risque opérationnel connu.
Sources & preuves on-chain
- [01]blockchaingroup.iohttps://blockchaingroup.io/compliance-and-regulation/top-10-crypto-losses-of-2024-hacks-frauds-and-exploits/
- [02]cryptotimes.iohttps://www.cryptotimes.io/2024/12/30/in-2024-crypto-lost-2-2-billion-to-hackers-top-5-hacks/