Что произошло

Индийская криптобиржа CoinDCX сообщила о компрометации внутреннего операционного кошелька и выводе активов примерно на $44 млн. Пользовательские средства не пострадали: инцидент затронул кошелёк, применявшийся для операционных задач/ликвидности. Чтобы ускорить возврат средств и поиск причастных, компания объявила программу вознаграждений (recovery bounty) — до 25% от возвращённой суммы, т. е. максимум до $11 млн при полном возмещении. 

Ключевые факты инцидента

• Дата взлома: 19 июля 2025 года (вечер, по местному времени). 
• Задетый контур: внутренний операционный аккаунт/кошелёк для «ликвидностных» операций; пользовательские активы и клиентские горячие кошельки не затрагивались.  
• Статус операций: после первичного ответа на инцидент выводы возобновлены; компания подчёркивает, что активы клиентов в безопасности. 
• Вознаграждение: до 25% от фактически возвращённых средств (потенциально до $11 млн). Программа открыта для этичных исследователей, аналитиков блокчейна, провайдеров аналитики и любых лиц, готовых предоставить проверяемые данные.  

Как устроена программа recovery bounty

Цель — стимулировать «белых хакеров», аналитиков и компании по трейсу ончейн-активов к сотрудничеству. В общих чертах процесс выглядит так:

1. Сбор и подача сведений. Участник собирает верифицируемую информацию (адреса, маршруты, биржи/мосты, признаки deanonymization) и подаёт её в установленном формате.
2. Проверка и пресейф. Команда безопасности соотносит сведения с внутренними логами, провайдерами аналитики и правоохранительными запросами.
3. Розыск/арест/возврат. Если по предоставленной цепочке удаётся заморозить/вернуть часть активов, рассчитывается доля вознаграждения.
4. Выплата. Бонус выплачивается из пула recovery bounty после фактического возвращения средств (процент от восстановленной суммы). 

Что известно о векторе атаки (по открытым данным)

В публичных отчётах указывается, что злоумышленники получили доступ к внутреннему аккаунту, связанному с операциями ликвидности; обсуждаются версии социальной инженерии и вредоносного ПО на рабочем устройстве сотрудника. Следствие в Индии сообщало об аресте инженера в рамках расследования; в ряде публикаций упоминались признаки сложной внешней координации атаки. Подчеркнём: официальных приговоров нет; версия о социальной инженерии остаётся одной из рабочих гипотез. 

Почему это важно рынку

Такие инциденты редко касаются «кошельков клиентов напрямую», но они бьют по доверию и P&L площадок. Программы recovery bounty стали де-факто стандартом: вместо того чтобы полагаться только на «классическое» расследование, биржи подключают сообщество аналитиков и трекеров ончейн-маршрутов. Это повышает шанс на блокировку вывода через централизованные онрампы/оффрампы и возвращение хотя бы части средств.

Как участвовать (и не нарушить закон)

Если у вас есть релевантные данные (адреса, связи, контрагенты, следы на мостах), действуйте в правовом поле и соблюдайте базовые правила безопасности:

• Не взаимодействуйте с украденными активами напрямую. Любые «пробные переводы» или попытки «перехвата» могут трактоваться как участие в отмывании.
• Документируйте источники. Скриншоты, ссылки на транзакции, выгрузки с метками времени; это понадобится для верификации.
• Учитывайте KYC/юрисдикции. Взаимодействие с биржами и провайдерами логично вести через официальный канал; не нарушайте правила KYC.
• Соблюдайте OPSEC. Храните ключи и доступы по правилам, используйте отдельные рабочие окружения; базовые принципы — в разделе хранение у себя vs у провайдера и управление рисками.

Что делать пользователям CoinDCX

Поскольку компания заявляет, что клиентские средства не пострадали, ключевая задача пользователя — базовая гигиена аккаунта: смена паролей, проверка активных сессий, актуализация 2FA, проверка «белых» адресов, антифишинг-код. Если вы используете API — пересоздайте ключи, ограничьте права, включите IP-allowlist. Для длинного хранения активов разумно диверсифицировать хранение: часть — у надёжного кастоди/биржи, часть — в личном кошельке со строгими процедурами безопасности (см. гайд по хранению).

Как биржам избегать повторения (инженерный взгляд)

Риски и ограничения recovery bounty

• Юрограничения. Часть данных может быть получена законно только правоохранителями; поэтому bounty — дополнение, а не замена официального расследования.
• Ложноположительные «наводки». Пул сигналов велик, но не всякая «связь по графу» истинна; валидация обязательна.
• Скорость. Чем дольше средства путешествуют через миксеры/мосты, тем меньше шанс полного возврата; коэффициент вознаграждения привязан к реально возвращённым суммам. 

FAQ

Можно ли претендовать на часть $11 млн, если помогли только «локализовать» адреса?

Вознаграждение считают от возвращённой суммы; помощь, не приведшая к возврату, может оплачиваться по усмотрению программы, но не гарантируется.  

Правда ли, что речь о «взломе клиентских кошельков»?

Нет. Публичные заявления подчёркивают: инцидент коснулся операционного контура, клиентские активы не затронуты; выводы для пользователей возобновлены. 

Есть ли версии о социальной инженерии?

Да, в ряде публикаций следствие и СМИ обсуждают человеческий фактор/социнжиниринг; расследование продолжается.  

Вывод

Сценарий CoinDCX снова показывает: уязвим не только периметр «клиентских кошельков», но и операционные контуры бирж. Открытый recovery bounty — прагматичный способ повысить шансы возврата средств и давления на злоумышленников. Для пользователей главный вывод прежний: дисциплина безопасности аккаунта и диверсификация хранения; для индустрии — инженерная строгость к «ликвидностным» кошелькам, сегментация, лимиты, мониторинг и регулярные учения IR.

Полезные ссылки

• Хранение у себя vs у провайдера: базовые принципы
• Управление рисками: как выстроить процессы

Обновлено: 24.09.2025, 03:55 МСК