7 月 19 日,印度加密货币交易所 CoinDCX 遭遇攻击,黑客通过渗透其流动性基础设施,窃取 4400 万美元(精确数字为 4420 万美元)资产。
攻击全解析:朝鲜黑客的“战术级”操作
周密侦察与测试
攻击并非偶然。7 月 16 日,黑客通过加密混币器 Tornado Cash 向攻击地址转入 1 ETH 作为初始资金,并执行了 1 USDT 小额交易测试,验证了交易所流动性系统的漏洞。三天后(7 月 19 日),黑客正式行动,在 5 分钟内清空存放 USDT 的 Solana 链上运营钱包。
跨链洗钱与资金去向
被盗资产被快速转移:
- 通过 Jupiter 聚合器 兑换为 SOL
- 经 Wormhole 跨链桥 分批转移至以太坊(每批 1,000 - 4,000 SOL)
- 最终沉淀至两个钱包:
• Solana 钱包:155,830 SOL(约 2760 万美元)
• 以太坊钱包:4,443 ETH(约 1570 万美元)
截至 7 月 28 日,这些资金仍处于休眠状态,未被转移或兑现。
幕后黑手:朝鲜 Lazarus 集团
区块链安全公司 CyVers 及多家机构分析指出,此次攻击手法与朝鲜国家黑客组织 Lazarus Group 高度吻合。该组织 2025 年上半年已窃取 16 亿美元加密货币,其标志性战术包括使用 Tornado Cash 隐藏资金来源及跨链转移规避追踪。
争议与响应:透明度危机与 1100 万悬赏
延迟披露引发信任危机
攻击发生 17 小时后,知名链上侦探 ZachXBT 才通过 Telegram 频道曝光事件,早于 CoinDCX 的官方声明。社区强烈质疑其标榜的“透明运营”——“你们以透明为口号创立交易所,却拖延 18 小时才披露 4400 万美元被盗”。
全球协作追赃
CoinDCX 启动 25% 资金返还悬赏计划(最高 1100 万美元),鼓励安全团队协助追踪。同时联合 Chainalysis 等区块链分析公司,向全球交易所发送涉事钱包地址,请求冻结可疑资产。
行业启示:2025 年交易所安全的“生存法则”
冷存储隔离成黄金标准
本次事件验证了冷热钱包分离设计的有效性。类似案例包括:
- WazirX(2024):因未完全隔离用户与运营账户,损失 2.35 亿美元
- WOO X(2025/7/24):因员工设备钓鱼攻击致 9 用户账户损失 1400 万美元
Lazarus 威胁升级,防御需“超视距”
朝鲜黑客持续进化攻击手法:
- 混合跨链桥与混币器:增加资金追踪难度
- 长期潜伏侦察:提前测试系统响应(如本次 1 USDT 测试交易)
交易所需部署AI 驱动异常检测系统,对微小测试交易实时报警。
监管倒逼安全升级
印度将于 8 月发布《加密货币监管框架》,要求交易所:
- 通过 ISO/IEC 27001 认证
- 定期提交储备金证明(Proof of Reserves)
- 强制披露安全事件时限(预计 ≤ 6 小时)
结语:被盗 4400 万美元的“正向意义”
CoinDCX 事件暴露了运营账户的管理短板,但也证明严格的冷存储架构能有效保护用户资产。截至 7 月 28 日,2025 年全球加密货币盗窃额已超 21.7 亿美元,但仅 8% 资金被追回。未来交易所需在 “隔离设计”、“员工社工防御” 和“实时跨链监控”三层面构建深度防御体系。
