$44M CoinDCX हैक की व्याख्या

एक उल्लंघन जिसने भारत के क्रिप्टो क्षेत्र को हिला दिया

भारत के सबसे प्रमुख क्रिप्टोकरेंसी एक्सचेंजों में से एक, CoinDCX ने एक सुरक्षा उल्लंघन की पुष्टि की है जिसके परिणामस्वरूप 10 लाख से अधिक क्रिप्टोकरेंसी की चोरी हुई है। 44 $ मिलियन डिजिटल संपत्ति में। 

इस शोषण ने एक चालू वॉलेट को निशाना बनाया धूपघड़ी यह हमला नकदी की व्यवस्था के लिए इस्तेमाल किए जाने वाले नेटवर्क पर किया गया था—ग्राहकों के वॉलेट पर नहीं। हमले की तीव्र और व्यापक प्रकृति के बावजूद, कंपनी का कहना है कि उपयोगकर्ताओं के धन को कोई नुकसान नहीं पहुँचा है और वे पूरी तरह सुरक्षित हैं।

इस घटना को सबसे पहले कंपनी ने नहीं, बल्कि ब्लॉकचेन अन्वेषक ने चिह्नित किया था। ZachXBT, जिन्होंने संदिग्ध फंड मूवमेंट पर नज़र रखी और पहचान की कि हैक किया गया वॉलेट CoinDCX का है। उनके खुलासे के बाद, CoinDCX को कुछ ही मिनटों में जवाब देना पड़ा, जो इस साल भारत में सबसे हाई-प्रोफाइल क्रिप्टो सुरक्षा घटनाओं में से एक है।

हमला कैसे हुआ?

ऑन-चेन सुरक्षा फर्म के अनुसार साइवर्सयह हमला सुनियोजित था और सटीकता से अंजाम दिया गया था। इसकी शुरुआत 16 जुलाई, 2025 को ही टॉर्नेडो कैश से 1 ETH भेजने के साथ हुई थी—एक क्रिप्टोकरेंसी मिक्सर जिसका इस्तेमाल अक्सर फंड की उत्पत्ति को छिपाने के लिए किया जाता है। इस ETH को FixedFloat में जमा किया गया, पॉलीगॉन में निकाला गया, और बाद में सोलाना में ब्रिज किया गया, जहाँ लेनदेन शुल्क को कवर करने के लिए इसे SOL में बदल दिया गया।

के अनुसार मीर डोलेवसाइवर्स के संस्थापक, 18 जुलाई को, 21:07 UTC पर, हमलावर ने केवल 1 USDT के साथ एक परीक्षण लेनदेन शुरू किया। फिर असली शोषण शुरू हुआ। पाँच मिनट के भीतर, हमलावर ने सोलाना पर CoinDCX के एक ऑपरेशनल वॉलेट से लगभग 44.2 मिलियन डॉलर के USDT और USDC निकाल लिए।

निकासी का क्रम इस प्रकार है:

• 22:09 UTC: $2 मिलियन
• 22:10: $7 मिलियन
• 22:11: $10 मिलियन
• 22:12: $10 मिलियन
• 22:13: 5 मिलियन डॉलर के दो अलग-अलग लेनदेन
• 22:14: 5 मिलियन डॉलर की अंतिम निकासी

कुछ ही मिनटों बाद, छोटे-छोटे ट्रांसफ़र हुए, जिनमें 102,000 USDC और 79,000 USDT शामिल थे। चुराई गई धनराशि का एक हिस्सा—$15.8 मिलियन—सोलाना से एथेरियम में स्थानांतरित कर दिया गया, संभवतः मार्गों में विविधता लाने और वसूली को जटिल बनाने के लिए।

CoinDCX का जवाब

यह उल्लंघन तब सबके ध्यान में आया जब ज़ैकएक्सबीटी ने टेलीग्राम पर अपने निष्कर्ष साझा किए, जिसकी पुष्टि कॉइनडीसीएक्स के सीईओ सुमित गुप्ता ने तुरंत की। उन्होंने इस घटना को एक "परिष्कृत सर्वर उल्लंघन" बताया, जिसमें एक पार्टनर एक्सचेंज के साथ इस्तेमाल किए जाने वाले एक एकल परिचालन खाते को नुकसान पहुँचा।

महत्वपूर्ण बात यह है कि गुप्ता वर्णित कि:

• सभी उपयोगकर्ता परिसंपत्तियाँ कोल्ड वॉलेट में संग्रहीत की जाती हैं
• किसी भी ग्राहक के धन पर कोई प्रभाव नहीं पड़ा
• ट्रेडिंग और INR निकासी के लिए प्लेटफ़ॉर्म सामान्य रूप से काम करना जारी रखता है

गुप्ता ने ज़ोर देकर कहा, "प्रभावित परिचालन खाते को अलग करके घटना पर तुरंत काबू पा लिया गया। चूँकि हमारे परिचालन खाते ग्राहकों के वॉलेट से अलग हैं, इसलिए जोखिम केवल इसी विशिष्ट खाते तक सीमित है और इसे हम पूरी तरह से अपने खजाने के भंडार से वहन कर रहे हैं।"

आशाजनक परियोजनाओं की खोज करें...

आशाजनक परियोजनाएं...

(विज्ञापन)

लेख जारी है...

सुरक्षा उपाय और पुनर्प्राप्ति योजनाएँ जारी हैं

CoinDCX का कहना है कि उसने साइबर सुरक्षा फर्मों को इस उल्लंघन की जाँच और चोरी की गई संपत्तियों की आवाजाही का पता लगाने के लिए नियुक्त किया है। कंपनी जहाँ तक संभव हो, फंड फ्रीज करने के लिए अनाम साझेदार एक्सचेंज के साथ काम कर रही है। एक बग बाउंटी प्रोग्राम भी विकसित किया जा रहा है, जिसका उद्देश्य हमलावरों द्वारा उनका फायदा उठाने से पहले ही कमजोरियों की पहचान करना है।

इस सेंध के बावजूद, CoinDCX का कहना है कि उसके सिस्टम मज़बूत हैं। कंपनी लंबे समय से बहु-स्तरीय सुरक्षा ढाँचे का दावा करती रही है। धन विभिन्न वॉलेट और कस्टोडियन में वितरित किया जाता है। 

मासिक प्रूफ-ऑफ-रिजर्व रिपोर्ट एक्सचेंज की पारदर्शिता नीति का आधार रही हैं। आपात स्थिति में उपयोगकर्ताओं को कवर करने के लिए एक क्षतिपूर्ति निधि भी है—हालाँकि इस मामले में, ग्राहकों के धन पर कोई असर नहीं पड़ा।

2018 में स्थापित, CoinDCX 2021 में 90 मिलियन डॉलर जुटाकर 1.1 बिलियन डॉलर के मूल्यांकन पर भारत का पहला क्रिप्टो यूनिकॉर्न बनकर तेज़ी से आगे बढ़ा। 2022 में, 135 मिलियन डॉलर के एक और दौर ने इसके मूल्यांकन को लगभग दोगुना करके 2.15 बिलियन डॉलर कर दिया।

जुलाई 2024 में, CoinDCX ने दुबई स्थित BitOasis का अधिग्रहण कर लिया, जिससे कंपनी के वैश्विक स्तर पर जाने के इरादे का संकेत मिला। हालाँकि, हालिया उल्लंघन ने इन महत्वाकांक्षाओं पर ग्रहण लगा दिया है। 

भारतीय क्रिप्टो के लिए एक चेतावनी भरा क्षण

यह हैक घटना के ठीक एक साल बाद हुई है। वज़ीरएक्स का पतनएक और प्रमुख भारतीय एक्सचेंज, जिसे उत्तर कोरिया के लाज़ारस समूह द्वारा की गई सेंधमारी के कारण 230 करोड़ डॉलर का नुकसान हुआ। इस हमले के कारण प्लेटफ़ॉर्म बंद हो गया और पुनर्गठन योजना विफल हो गई, और अब तक केवल 3 लाख डॉलर ही वसूल हो पाए हैं।

हालांकि यह स्पष्ट नहीं है कि CoinDCX हैक उन्हीं लोगों से जुड़ा है या नहीं, लेकिन समानताएँ उल्लेखनीय हैं: एक ऑपरेशनल अकाउंट सेंध, देरी से खुलासा, और टॉर्नेडो कैश पर निर्भरता। अभी तक, किसी भी राष्ट्र-राज्य समूह को दोषी नहीं ठहराया गया है।

केंद्रीकरण की समस्या

हालाँकि CoinDCX अपनी मज़बूत संरचना पर ज़ोर देता है, लेकिन यह घटना केंद्रीकृत एक्सचेंजों द्वारा ऑपरेशनल वॉलेट्स के प्रबंधन में एक बड़ी खामी को उजागर करती है। हैक किए गए खाते का इस्तेमाल सिर्फ़ एक पार्टनर प्लेटफ़ॉर्म पर लिक्विडिटी के लिए किया जाता था, फिर भी उसमें करोड़ों डॉलर थे—जो कि परिष्कृत हमलावरों को आकर्षित करने के लिए काफ़ी थे।

आलोचनाओं में CoinDCX की प्रतिबंधात्मक क्रिप्टो निकासी नीति भी शामिल है। उपयोगकर्ता डिफ़ॉल्ट रूप से धनराशि नहीं निकाल सकते। इसके बजाय, जोखिम आकलन के आधार पर आंतरिक समीक्षा के बाद ही निकासी की अनुमति दी जाती है। इस केंद्रीकृत नियंत्रण ने भारतीय क्रिप्टो समुदाय में उपयोगकर्ता स्वायत्तता और पारदर्शिता को लेकर बहस छेड़ दी है।

मई में रेडिट एएमए में, गुप्ता ने इस नीति का बचाव करते हुए कहा कि यह अवैध धन-संचार को रोकती है। उन्होंने सुरक्षा परतों, आंतरिक ऑडिट और अनुपालन मानकों का हवाला देते हुए CoinDCX पर वज़ीरएक्स-शैली के हमले की संभावना को भी कम करके आंका। इस ताज़ा घटना ने उन दावों को जांच के दायरे में ला दिया है।