Der 44 Millionen Dollar schwere CoinDCX-Hack erklärt

Ein Verstoß, der Indiens Krypto-Sektor erschütterte

CoinDCX, eine der bekanntesten Kryptowährungsbörsen Indiens, bestätigte eine Sicherheitsverletzung, die zum Diebstahl von über 44 Mio. US$ bei digitalen Assets. 

Der Exploit zielte auf eine operative Brieftasche auf der Solana Netzwerk, das für die Bereitstellung von Liquidität verwendet wird – nicht die Wallets der Kunden. Trotz der Schnelligkeit und des großen Ausmaßes des Angriffs besteht das Unternehmen darauf, dass die Gelder der Benutzer unberührt und vollständig sicher bleiben.

Der Vorfall wurde nicht vom Unternehmen, sondern von einem Blockchain-Ermittler gemeldet. Zach XBT, der verdächtige Geldbewegungen verfolgte und die kompromittierte Wallet als Eigentum von CoinDCX identifizierte. Seine Offenlegung erzwang innerhalb weniger Minuten eine Reaktion von CoinDCX und markierte damit einen der aufsehenerregendsten Krypto-Sicherheitsvorfälle in Indien in diesem Jahr.

Wie der Angriff ablief

Laut On-Chain-Sicherheitsfirma CyversDer Angriff war gut geplant und wurde präzise ausgeführt. Die Vorbereitung begann bereits am 16. Juli 2025 mit der Überweisung von 1 ETH von Tornado Cash – einem Kryptowährungsmixer, der häufig zur Verschleierung der Geldherkunft verwendet wird. Dieses ETH wurde bei FixedFloat eingezahlt, bei Polygon abgehoben und später zu Solana weitergeleitet, wo es zur Deckung der Transaktionsgebühren in SOL umgewandelt wurde.

Laut Meir Dolev, Gründer von Cyvers, leitete am 18. Juli um 21:07 UTC eine Testtransaktion mit nur 1 USDT ein. Dann begann der eigentliche Exploit. Innerhalb von fünf Minuten entwendete der Angreifer rund 44.2 Millionen US-Dollar in USDT und USDC aus einer der operativen Wallets von CoinDCX auf Solana.

Die Reihenfolge der Abhebungen ist wie folgt:

• 22:09 UTC: 2 Millionen US-Dollar
• 22:10 Uhr: 7 Millionen Dollar
• 22:11 Uhr: 10 Millionen Dollar
• 22:12 Uhr: 10 Millionen Dollar
• 22:13: Zwei separate Transaktionen im Wert von jeweils 5 Millionen US-Dollar
• 22:14: Letzte Auszahlung von 5 Millionen US-Dollar

Minuten später folgten kleinere Überweisungen, darunter 102,000 USDC und 79,000 USDT. Ein Teil der gestohlenen Gelder – 15.8 Millionen US-Dollar – wurde von Solana nach Ethereum transferiert, möglicherweise um die Routen zu diversifizieren und die Wiederbeschaffung zu erschweren.

CoinDCX antwortet

Der Datendiebstahl wurde öffentlich bekannt, als ZachXBT seine Erkenntnisse auf Telegram teilte, woraufhin CoinDCX-CEO Sumit Gupta den Vorfall umgehend bestätigte. Er bezeichnete den Vorfall als „raffinierten Server-Datendiebstahl“, der ein einzelnes Betriebskonto einer Partnerbörse kompromittiert habe.

Wichtig ist, Gupta angegeben dass:

• Alle Benutzervermögen werden in Cold Wallets gespeichert
• Es waren keine Kundengelder betroffen
• Die Plattform funktioniert weiterhin normal für den Handel und INR-Abhebungen

„Der Vorfall konnte durch die Isolierung des betroffenen Betriebskontos schnell eingedämmt werden“, betonte Gupta. „Da unsere Betriebskonten von den Kunden-Wallets getrennt sind, beschränkt sich das Risiko nur auf dieses spezielle Konto und wird vollständig von uns – aus unseren eigenen Kassenreserven – absorbiert.“

Entdecken Sie vielversprechende Projekte...

Vielversprechende Projekte...

(Werbung)

Artikel wird fortgesetzt...

Sicherheitsmaßnahmen und Wiederherstellungspläne im Gange

CoinDCX hat nach eigenen Angaben Cybersicherheitsfirmen beauftragt, den Verstoß zu untersuchen und die Bewegung der gestohlenen Vermögenswerte nachzuverfolgen. Das Unternehmen arbeitet mit der ungenannten Partnerbörse zusammen, um Gelder nach Möglichkeit einzufrieren. Ein Bug-Bounty-Programm ist ebenfalls in der Entwicklung, um Schwachstellen zu identifizieren, bevor Angreifer sie ausnutzen können.

Trotz des Verstoßes behauptet CoinDCX, dass seine Systeme zuverlässig seien. Das Unternehmen behauptet seit langem, eine mehrschichtige Sicherheitsarchitektur zu verwenden. Die Gelder werden auf verschiedene Wallets und Depotbanken verteilt. 

Monatliche Reservenachweise sind ein Eckpfeiler der Transparenzpolitik der Börse. Es gibt auch einen Entschädigungsfonds, der die Nutzer im Notfall absichern soll – in diesem Fall waren die Kundengelder jedoch nicht betroffen.

CoinDCX wurde 2018 gegründet und entwickelte sich 2021 schnell zum ersten Krypto-Einhorn Indiens, nachdem es 90 Millionen US-Dollar bei einer Bewertung von 1.1 Milliarden US-Dollar aufgebracht hatte. Im Jahr 2022 verdoppelte eine weitere Runde von 135 Millionen US-Dollar die Bewertung fast auf 2.15 Milliarden US-Dollar.

Im Juli 2024 übernahm CoinDCX das in Dubai ansässige Unternehmen BitOasis und signalisierte damit die Absicht des Unternehmens, global zu expandieren. Der jüngste Einbruch wirft jedoch einen Schatten auf diese Ambitionen. 

Ein warnender Moment für indische Kryptowährungen

Der Hack ereignete sich fast genau ein Jahr nach dem Zusammenbruch von WazirX, eine weitere führende indische Börse, die durch einen Angriff der nordkoreanischen Lazarus Group 230 Millionen Dollar verlor. Dieser Angriff führte zur Schließung der Plattform und einem gescheiterten Umstrukturierungsplan. Bis heute konnten nur 3 Millionen Dollar zurückgewonnen werden.

Es ist unklar, ob der CoinDCX-Hack mit denselben Akteuren in Verbindung steht, doch die Ähnlichkeiten sind bemerkenswert: ein Angriff auf das operative Konto, eine verzögerte Offenlegung und die Abhängigkeit von Tornado Cash. Bisher wurde keine staatliche Gruppe beschuldigt.

Ein Problem der Zentralisierung

Obwohl CoinDCX auf seiner robusten Architektur beharrt, offenbart der Vorfall eine erhebliche Schwachstelle in der Verwaltung operativer Wallets durch zentralisierte Börsen. Das kompromittierte Konto wurde ausschließlich für Liquidität auf einer Partnerplattform genutzt, enthielt jedoch mehrere zehn Millionen Dollar – genug, um raffinierte Angreifer anzulocken.

Die Kritik wird zusätzlich durch die restriktive Krypto-Auszahlungspolitik von CoinDCX verstärkt. Nutzer können standardmäßig keine Gelder abheben. Stattdessen sind Auszahlungen erst nach interner Prüfung auf Basis von Risikobewertungen zulässig. Diese zentralisierte Kontrolle hat innerhalb der indischen Krypto-Community eine Debatte über Nutzerautonomie und Transparenz ausgelöst.

In einem Reddit AMA im Mai verteidigte Gupta diese Richtlinie mit der Begründung, sie verhindere illegale Geldbewegungen. Er spielte auch die Möglichkeit eines Angriffs auf CoinDCX im Stil von WazirX herunter und verwies auf Sicherheitsebenen, interne Audits und Compliance-Standards. Der jüngste Vorfall hat diese Behauptungen nun einer genaueren Prüfung unterzogen.