11 сентября крупнейшая криптовалютная биржа Индонезии Indodax столкнулась с масштабным взломом, в результате чего было объявлено о хищении $22 млн. Этот инцидент вынудил платформу, на которой зарегистрировано 6,8 млн пользователей, приостановить свою работу, оставив клиентов в состоянии полного непонимания происходящего.
Различные компании по исследованию и безопасности блокчейна, включая PeckShield, Cyvers и SlowMist, выявили инцидент. Они обнаружили необычные и крайне подозрительные действия на горячих кошельках Indodax.
Далее расскажем о том, какие активы были похищены с биржи, узнаем, как объясняет Indodax инцидент и что думают криптоэксперты о происходящем.
Какие активы были похищены у биржи
Cyvers зафиксировал более 150 подозрительных транзакций в некоторых сетях блокчейна. Масштаб и уровень атаки говорят о том, что хакеры были опытными и разрабатывали взлом длительное время.
Первоначально финансовая потеря оценивалась в $15 миллионов, однако, по обновленным данным, предоставленным CoinDesk, она достигла $22 миллионов.
11 сентября независимый криптообозреватель Тау опубликовал в сети Х подробный анализ украденных активов. В итоге злоумышленникам удалось извлечь достаточно широкий спектр криптовалют из кошельков Indodax. Среди активов были:
Ethereum (ETH) на сумму $12,37 млн;
8 миллионов токенов POL на сумму $2,64 млн;
7 миллионов токенов Tron (TRX) на общую сумму $2,55 млн;
биткоин (BTC) на сумму $1,44 млн;
различные токены ERC-20 стоимостью $1,2 млн;
ETH в сети Optimism на сумму $900 000.
Такой обширный список токенов говорит о том, что злоумышленники получили доступ к нескольким кошелькам, поскольку им приходилось выполнять транзакции на разных блокчейнах.
Indodax приостанавливает операции, утверждая, что средства пользователей в безопасности
11 сентября компания Indodax проинформировала пользователей о сбое через свою учетную запись X.
«Здравствуйте, пользователи INDODAX.
Мы хотим сообщить, что наша служба безопасности обнаружила потенциальный сбой в работе платформы.
В настоящее время мы проводим тщательное техническое обслуживание, чтобы убедиться, что вся система работает должным образом. Во время этого процесса веб-платформа и приложения INDODAX временно недоступны. Но не волнуйтесь, мы позаботимся о том, чтобы ваш баланс оставался на 100% безопасным как в криптовалюте, так и в рупиях.
Мы благодарим вас за терпение и оказанное доверие. Этот процесс мы проводим для обеспечения безопасности и удобства ваших транзакций. Мы предоставим дополнительные обновления, как только расследование будет завершено».
Однако криптосообщество восприняло это уведомление без особой надежды на фоне масштабов взлома и доказательств, предоставленных фирмами по криптобезопасности. Никаких конкретных подробностей о том, как произошел взлом или кто может стоять за инцидентом, Indodax не предоставила. Более того, они пока не подтвердили масштаб понесенных ими убытков.
Хотя решение компании остановить все операции является необходимым, оно также вызывает вопросы относительно планов по обеспечению непрерывности бизнеса.
Ждете, когда система INDODAX заработает в связи с техническим обслуживанием? Каждый час для 3 победителей проводится розыгрыш призов на общую сумму 3 миллиона рупий, пока система все еще находится на техническом обслуживании.
Это просто, напишите в комментариях в Instagram
@indodax причину, по которой вы торгуете криптовалютой в INDODAX. Победитель будет выбран случайным образом
Между тем спустя 5,5 часов после публикации о технических сбоях биржа предложила раздачу призов в размере 3 миллионов рупий (около $200) каждый час трем победителям, пока система находится «на техническом обслуживании».
Сам розыгрыш $200 Indodax провели в Instagram.
Криптоэксперты полагают, что за взломом могут стоять северокорейские хакеры
Одна из интересных особенностей взлома Indodax — его возможная связь с хакерской группой Lazarus, которую финансирует северокорейское правительство.
Ряд специалистов по кибербезопасности отметили, что данная атака имеет много общего с предыдущими действиями, связанными с Lazarus Group.
Йоси Хаммер, эксперт по искусственному интеллекту в Cyvers, отметил, что была обнаружена серьезная уязвимость в горячем кошельке Indodax, что привело к потере более $20,5 миллионов через несколько цепочек. Он добавил, что его мониторинговые системы зафиксировали 160 угроз, начиная с перевода 660 ETH, и характер атаки напоминает действия опытных групп, таких как Lazarus.
Тем не менее Хаммер предостерег от поспешных выводов, подчеркивая, что, хотя атака и напоминает предыдущие случаи, нужно провести дополнительное расследование для окончательной идентификации виновника. На данный момент специалисты компании выясняют, соответствуют ли методы отмывания денег в этом инциденте схемам Lazarus Group.
В последние годы эта группа была связана с рядом резонансных кибератак на криптовалютные платформы, среди которых выделяется кража $235 миллионов с WazirX в июле 2024 года.
Эти действия, как предполагается, могут быть частью более масштабной стратегии Северной Кореи, направленной на обход международных санкций и накопление иностранной валюты и криптовалюты через киберпреступность.
Cyvers о причинах взлома
SlowMist сообщает, что хакеры, скорее всего, использовали уязвимость в системе вывода средств биржи. Это дало им возможность обойти безопасность и произвести несанкционированные транзакции.
Специалисты компании Cyvers предполагают, что инцидент мог быть вызван взломом системы, включая машину подписи биржи. Генеральный директор Cyvers Дэдди Лавид рассказал BeInCrypto, что злоумышленники, вероятно, получили доступ к закрытым ключам платформы, используемым для работы с горячими кошельками.
Разница в оценках причин взлома показывает сложность атаки и трудности следователей при восстановлении событий. А также акцентирует внимание на необходимости внедрения многоуровневых мер безопасности криптобиржами.
Взлом Indodax, скорее всего, привлечет внимание финансовых регуляторов Индонезии и может вызвать требования о более жестком контроле за криптобиржами в стране. Индонезия, как и многие другие государства, испытывает затруднения в разработке правил для этой сферы.
Поскольку неясно, сколько средств было потеряно и насколько сильно пострадали активы пользователей, Indodax должен в первую очередь сделать официальное заявление с подробной информацией об утечке.
В дальнейшем бирже предстоит устранить технические уязвимости, которые привели к взлому, и восстановить доверие пользователей. Этот инцидент, скорее всего, станет стимулом для других бирж пересмотреть свои протоколы безопасности и планы по восстановлению после сбоев.