O hack de US$ 44 milhões da CoinDCX explicado

Uma violação que abalou o setor de criptomoedas da Índia

A CoinDCX, uma das mais importantes bolsas de criptomoedas da Índia, confirmou uma violação de segurança que resultou no roubo de mais de $ 44 milhões em ativos digitais. 

A exploração teve como alvo uma carteira operacional no Solana rede usada para provisionamento de liquidez — não para carteiras de clientes. Apesar da natureza rápida e em larga escala do ataque, a empresa insiste que os fundos dos usuários permaneçam intocados e totalmente seguros.

O incidente foi inicialmente sinalizado não pela empresa, mas pelo investigador do blockchain ZachXBT, que rastreou movimentações suspeitas de fundos e identificou a carteira comprometida como pertencente à CoinDCX. Sua divulgação forçou uma resposta da CoinDCX em minutos, marcando um dos incidentes de segurança de criptomoedas de maior repercussão na Índia neste ano.

Como o ataque se desenrolou

De acordo com a empresa de segurança on-chain Civers, o ataque foi bem planejado e executado com precisão. A configuração começou em 16 de julho de 2025, com 1 ETH enviado do Tornado Cash — um misturador de criptomoedas frequentemente usado para ofuscar a origem dos fundos. Esse ETH foi depositado no FixedFloat, sacado para o Polygon e, posteriormente, transferido para a Solana, onde foi convertido em SOL para cobrir as taxas de transação.

De acordo com as Meir Dolev, fundador da Cyvers, às 18h21 UTC de 07 de julho, o invasor iniciou uma transação de teste com apenas 1 USDT. Então, a verdadeira exploração começou. Em um intervalo de cinco minutos, o invasor drenou aproximadamente US$ 44.2 milhões em USDT e USDC de uma das carteiras operacionais da CoinDCX na Solana.

A sequência de retiradas é a seguinte:

• 22:09 UTC: US$ 2 milhões
• 22:10: US$ 7 milhões
• 22:11: US$ 10 milhões
• 22:12: US$ 10 milhões
• 22:13: Duas transações separadas de US$ 5 milhões cada
• 22:14: Saque final de US$ 5 milhões

Minutos depois, transferências menores ocorreram, incluindo 102,000 USDC e 79,000 USDT. Uma parte dos fundos roubados — US$ 15.8 milhões — foi transferida da Solana para a Ethereum, possivelmente para diversificar as rotas e complicar a recuperação.

CoinDCX responde

A violação veio à tona quando ZachXBT compartilhou suas descobertas no Telegram, o que levou à rápida confirmação do CEO da CoinDCX, Sumit Gupta. Ele chamou o incidente de "violação sofisticada de servidor" que comprometeu uma única conta operacional usada em uma corretora parceira.

Importante, Gupta estabelecido que:

• Todos os ativos do usuário são armazenados em carteiras frias
• Nenhum fundo de cliente foi afetado
• A plataforma continua operando normalmente para negociação e retiradas de INR

"O incidente foi rapidamente contido com o isolamento da conta operacional afetada", enfatizou Gupta. "Como nossas contas operacionais são segregadas das carteiras dos clientes, a exposição se limita apenas a essa conta específica e está sendo totalmente absorvida por nós — a partir de nossas próprias reservas de tesouraria."

Descubra projetos promissores...

Projetos promissores...

(Propaganda)

O artigo continua...

Medidas de segurança e planos de recuperação em andamento

A CoinDCX informou ter contratado empresas de segurança cibernética para investigar a violação e rastrear a movimentação dos ativos roubados. A empresa está trabalhando com a exchange parceira não identificada para congelar fundos sempre que possível. Um programa de recompensa por bugs também está em desenvolvimento, com o objetivo de identificar vulnerabilidades antes que invasores possam explorá-las.

Apesar da violação, a CoinDCX afirma que seus sistemas são sólidos. A empresa há muito tempo afirma utilizar uma arquitetura de segurança multicamadas. Os fundos são distribuídos entre diferentes carteiras e custodiantes. 

Os relatórios mensais de comprovação de reserva têm sido um pilar fundamental da política de transparência da corretora. Há também um fundo de compensação destinado a cobrir os usuários em caso de emergências — embora, neste caso, os fundos dos clientes não tenham sido afetados.

Fundada em 2018, a CoinDCX cresceu rapidamente e se tornou o primeiro unicórnio cripto da Índia em 2021, após levantar US$ 90 milhões, com uma avaliação de US$ 1.1 bilhão. Em 2022, outra rodada de US$ 135 milhões quase dobrou sua avaliação para US$ 2.15 bilhões.

Em julho de 2024, a CoinDCX adquiriu a BitOasis, sediada em Dubai, um movimento que sinalizou a intenção da empresa de se globalizar. A recente violação, no entanto, lança uma sombra sobre essas ambições. 

Um momento de cautela para as criptomoedas indianas

O hack ocorre quase exatamente um ano após o colapso do WazirX, outra importante bolsa indiana que perdeu US$ 230 milhões em uma violação de dados atribuída ao Lazarus Group, da Coreia do Norte. Esse ataque levou ao fechamento da plataforma e a um plano de reestruturação fracassado, com apenas US$ 3 milhões recuperados até o momento.

Embora não esteja claro se o hack da CoinDCX está vinculado aos mesmos autores, as semelhanças são notáveis: uma violação operacional da conta, divulgação tardia e dependência do Tornado Cash. Até o momento, nenhum grupo estatal foi responsabilizado.

Um problema de centralização

Embora a CoinDCX insista em sua arquitetura robusta, o incidente revela uma vulnerabilidade significativa na forma como as exchanges centralizadas gerenciam carteiras operacionais. A conta comprometida era usada exclusivamente para liquidez em uma plataforma parceira, mas continha dezenas de milhões de dólares — o suficiente para atrair invasores sofisticados.

Somando-se às críticas, está a política restritiva de saque de criptomoedas da CoinDCX. Os usuários não podem sacar fundos por padrão. Em vez disso, os saques são permitidos somente após revisão interna baseada em avaliações de risco. Esse controle centralizado gerou debates na comunidade indiana de criptomoedas sobre autonomia e transparência do usuário.

Em um AMA no Reddit em maio, Gupta defendeu essa política afirmando que ela impede a movimentação ilícita de fundos. Ele também minimizou a possibilidade de um ataque ao estilo WazirX contra a CoinDCX, citando camadas de segurança, auditorias internas e padrões de conformidade. Este último incidente colocou essas alegações sob escrutínio.