La policía de Bangalore arrestó a Rahul Agarwal, ingeniero de software de 30 años del exchange de criptomonedas CoinDCX, en conexión con el robo de 44 millones de dólares ocurrido el 19 de julio.
El caso de CoinDCX ha puesto de manifiesto los riesgos de seguridad que enfrentan las plataformas de intercambio de criptomonedas y la efectividad de los ataques de ingeniería social.
El modus operandi del ataque
Según la investigación interna de CoinDCX, los hackers comprometieron las credenciales de acceso de Agarwal a través de malware instalado en su laptop de trabajo. El empleado admitió haber usado su computadora corporativa, proporcionada “estrictamente para trabajo de oficina”, para realizar trabajos freelance para “tres o cuatro clientes privados” sin verificar sus credenciales.
Los atacantes contactaron a Agarwal a través de WhatsApp y números extranjeros, ofreciéndole trabajos de medio tiempo que incluían tareas aparentemente simples como escribir reseñas. Agarwal sospecha que los archivos enviados como parte de este trabajo “podrían haber sido una trampa” que permitió a los hackers acceder a sus credenciales de login.
Cronología del robo
El ataque comenzó la madrugada del 19 de julio a las 2:37 am con una transferencia de prueba de 1 USDT. Posteriormente, a las 9:40 am, los hackers habían logrado sustraer 379 crores de rupias (44 millones de dólares) distribuyéndolos en seis wallets diferentes.
El robo lo detectó e hizo público el investigador blockchain ZachXBT, quien señaló que habían transcurrido “casi 17 horas” desde el incidente sin que CoinDCX informara oficialmente a la comunidad. Menos de dos horas después de esta denuncia pública, la empresa reconoció oficialmente el hackeo.
Investigación en curso
La investigación policial reveló que Agarwal había recibido aproximadamente 15 lakh de rupias (unos 17,000 dólares) de fuentes desconocidas, dinero que él explicó como ingresos de trabajos de medio tiempo. Aunque fue arrestado el 26 de julio, los investigadores creen que Agarwal no era consciente del robo inminente y podría ser más una víctima que un cómplice.
Las autoridades enfrentan dificultades para rastrear los fondos robados, ya que fueron transferidos a seis wallets extranjeras, lo que requiere cooperación de exchanges internacionales para su recuperación.
Respuesta de CoinDCX
El CEO de CoinDCX, Sumit Gupta, describió el incidente como resultado de un “ataque sofisticado de ingeniería social” dirigido a empleados para comprometer los sistemas internos. La empresa aseguró que compensará completamente las pérdidas utilizando sus reservas financieras, destacando que sus ingresos anuales superan los 132 millones de dólares.
CoinDCX lanzó un “Programa de Recompensa por Recuperación” ofreciendo el 25% de cualquier fondo recuperado a quien pueda ayudar, equivalente a 11 millones de dólares, una de las recompensas más grandes jamás vista en el espacio cripto de India.
Un ejemplo clásico de ‘developer-phishing’
La firma de seguridad blockchain Halborn calificó este ataque como “un ejemplo clásico de hackeo de exchange que probablemente involucra una clave privada comprometida”. Este tipo de ataques dirigidos a desarrolladores son cada vez más comunes, ya que explotan vectores de ataque que las auditorías de seguridad tradicionales a menudo no cubren.
El incidente subraya la importancia de implementar controles de seguridad sólidos para la infraestructura backend y protocolos estrictos de ciberseguridad para empleados, especialmente en una industria donde los ataques cibernéticos representan un riesgo constante para la confianza del mercado y la protección de activos de clientes.
