揭秘CoinDCX的4400万美元安全漏洞：事件真相及为何如此似曾相识

时间：2025-07-28

来源：互联网

在手机上看

手机扫描阅读

作为印度今年最引人注目的加密货币安全事件之一，CoinDCX确认遭遇重大安全漏洞，其企业资金库损失高达4420万美元（36.8亿卢比）。

7月19日披露的这起事件在当地加密生态引发震动。更令人不安的是，它与几乎整整一年前WazirX遭遇的黑客攻击展现出惊人相似性。

尽管CoinDCX迅速向用户保证客户资产未受影响，但此次事件的深远影响远超技术漏洞本身。这再次警示我们：即便是印度数字资产领域最成熟的参与者，依然难以抵御复杂攻击。在日益严峻的网络威胁环境下，加密平台如何保护内部基础设施也引发新的质疑。

精准打击：已知攻击细节

漏洞源于某个内部运营钱包的未授权访问，该钱包专门用于第三方合作平台的流动性供给。CoinDCX确认被入侵钱包与客户资金隔离。但这次攻击的精准性令人侧目。

据追踪显示，被盗资产通过跨链桥转移（特别是Solana与以太坊之间），这种去中心化且能模糊追踪的路径日益受到黑客青睐。区块链分析师指出，攻击者最终将资产整合为4,443枚ETH（约13亿卢比）和155,830枚SOL（约23.8亿卢比）。截至最新消息，这些资金仍在链上未动。

漏洞发现于7月18日深夜，但公司于次日公开。CoinDCX联合创始人兼CEO Sumit Gupta强调，虽然用户资金安全，但公司将此次事件视为转折点。

事件发生后数小时内，CoinDCX采取多项措施：

7月20日平台出现短暂宕机，公司解释为服务器过载（可能因用户集中访问提现所致），随后已扩容基础设施稳定服务。

至7月21日，公司推出资产追回悬赏计划，承诺向协助追回资产或锁定攻击者的白帽黑客/研究机构提供最高25%的追回资金（总额可达约9.2亿卢比）。

此举不仅是标准善后，更标志着向社区协作安全模式的转变——这种实践正在全球范围内兴起。

"这不只是漏洞赏金，更是保护加密生态的集体行动号召。"发言人表示。

CoinDCX同时重申，全部损失由企业资金库承担，无需用户赔付或暂停服务。

对密切观察者而言，CoinDCX事件不仅令人震惊，更带着诡异的熟悉感。

2025年7月19日CoinDCX确认资金库被盗时，不仅损失金额引发关注，更耐人寻味的是日期本身——整整一年前的2024年7月18日，其最大竞争对手WazirX刚遭遇印度史上最大加密货币窃案（损失超2.3亿美元）。而今在周年纪念日后一天，另一家交易所以惊人相似的方式沦陷。

巧合不止于时间：

两起事件前数周，用户均发现提现延迟；两家交易所均以反洗钱/反恐融资合规为由解释；两次攻击均指向朝鲜黑客组织Lazarus Group。

但更深层的相似点在于：攻击前都出现近乎刻意的操作模式。

CoinDCX案例中，攻击前交易所突然下架超100个保证金交易对，迫使用户以不利汇率兑换USDT；同期关闭客服邮箱强制使用聊天机器人。回看这些操作，与WazirX被黑前的剧本高度雷同。

现有关键匿名爆料指出，CoinDCX事件可能并非单纯的黑客攻击，而是内部流动性危机的终局：

"CoinDCX重复着WazirX被黑前的每一步：先以合规理由暂停加密货币提现，后关闭客服邮箱转向聊天机器人。2024年12月其就因拖欠商品服务税被列名，可能存在流动性问题。"

"2025年2月修改用户协议获得任意下架代币权利，6月19日开始未经同意下架代币——这比黑客攻击更合法简便。通过市场低点时强制用户将下架代币兑换为USDT，所得资金或用于填补所谓'黑客损失'。"

——加密时报独家匿名爆料

两起事件对比表：