Hintergrund des CoinDCX-Hacks: Eine Übersicht über den Vorfall
Der Hackerangriff auf CoinDCX begann in den frühen Morgenstunden des 19. Juli 2025 um etwa 2:30 Uhr mit einem unbefugten Zugriff auf die Systeme der Börse. Die Angreifer nutzten kompromittierte Login-Daten des Software-Ingenieurs Rahul Agarwal, um Zugang zu den internen Systemen zu erlangen. Zunächst testeten die Hacker ihre Zugriffsrechte mit der Übertragung von einem USDT an eine externe Wallet, bevor sie den eigentlichen Angriff starteten.
Gegen 9:30 Uhr am selben Morgen eskalierte die Situation dramatisch. Die Angreifer begannen systematisch mit der Entwendung von 44 Millionen Dollar aus den CoinDCX-Wallets. Das gestohlene Kapital verteilten sie strategisch auf sechs verschiedene externe Wallets, um die Rückverfolgung zu erschweren und das Risiko einer schnellen Wiederherstellung zu minimieren.
CoinDCX-Vizepräsident Hardeep Singh bestätigte, dass Rahul Agarwal eine feste Anstellung bei dem Unternehmen hatte. Singh erklärte, dass die Untersuchung unmittelbar nach der Entdeckung des unbefugten Zugriffs eingeleitet wurde. Die Börse erkannte schnell die ungewöhnlichen Aktivitäten und leitete entsprechende Gegenmaßnahmen ein, um weitere Schäden zu begrenzen.
Die Verhaftung und verdächtige Geldbewegungen
Die Ermittlungen führten zur Verhaftung von Rahul Agarwal, dem Software-Ingenieur von CoinDCX, dessen Login-Daten für die Ausführung des Hackerangriffs verwendet wurden. Die Times of India bestätigte die Festnahme des Mitarbeiters im Zusammenhang mit dem 44-Millionen-Dollar-Diebstahl. Agarwal stand im Zentrum der Untersuchungen, nachdem seine Zugangsdaten als Einfallstor für die Cyberkriminellen dienten.
Besonders verdächtig erschienen den Ermittlern die Kontobewegungen auf Agarwals persönlichem Bankkonto. Während der laufenden Untersuchung erhielt er etwa 15 Lakh Rupien, was ungefähr 17.000 Dollar entspricht, von einer unbekannten Quelle. Diese Zahlung erfolgte zeitlich passend zu den Ermittlungen und weckte weitere Zweifel an seiner Unschuld.
Agarwal selbst gab gegenüber den Behörden an, einen verdächtigen Anruf aus Deutschland erhalten zu haben. Dieser Anruf stand im Zusammenhang mit einem Malware-Vorfall, der die internen Systeme von CoinDCX kompromittiert haben soll. Die Verbindung zwischen dem deutschen Anruf und der späteren Kompromittierung seiner Zugangsdaten deutet auf eine koordinierte Social-Engineering-Kampagne hin, die speziell darauf abzielte, Mitarbeiter zu manipulieren und Zugang zu sensiblen Systemen zu erlangen.
Social Engineering als Angriffsmethode
CEO Sumit Gupta charakterisierte den Angriff als ausgefeilte Social-Engineering-Attacke, verzichtete jedoch aufgrund der laufenden Ermittlungen auf weitere Details. Social Engineering hat sich als eine der effektivsten Methoden für Cyberkriminelle etabliert, da es menschliche Schwächen ausnutzt statt technische Sicherheitslücken. Die Angreifer manipulierten gezielt CoinDCX-Mitarbeiter, um an vertrauliche Informationen und Zugangsdaten zu gelangen.
Der verdächtige Anruf aus Deutschland, den Agarwal erwähnte, zeigt die internationale Dimension dieser Angriffe. Cyberkriminelle nutzen oft ausländische Telefonnummern und komplexe Verschleierungstaktiken, um ihre wahre Identität zu verbergen und Vertrauen bei den Zielpersonen aufzubauen. Die Verwendung einer deutschen Nummer verleiht dem Anruf eine scheinbare Legitimität und erschwert die Rückverfolgung.
Der Malware-Vorfall, der durch den Anruf initiiert wurde, kompromittierte die internen Systeme von CoinDCX und ermöglichte den Angreifern den Zugang zu Agarwals Login-Daten. Diese Methode kombiniert psychologische Manipulation mit technischen Mitteln und macht sie besonders gefährlich für Kryptobörsen, die auf das Vertrauen ihrer Mitarbeiter in die Sicherheitsprotokolle angewiesen sind.
Branchenweite Cybersicherheitsbedrohungen
Der CoinDCX-Hack reiht sich in eine Serie verheerender Angriffe auf Kryptobörsen ein, die die wachsenden Sicherheitsrisiken in der Branche verdeutlichen. Bereits früher im Jahr 2025 verlor Bybit 1,5 Milliarden Dollar durch einen Hackerangriff, der der nordkoreanischen Lazarus-Gruppe zugeschrieben wird. Diese Angriffe zeigen die zunehmende Sophistizierung und Koordination von Cyberkriminellen im Krypto-Sektor.
Die Häufung solcher Vorfälle unterstreicht die kritische Notwendigkeit verbesserter Sicherheitsmaßnahmen für Kryptobörsen. Während technische Sicherheitssysteme kontinuierlich weiterentwickelt werden, bleibt der menschliche Faktor als schwächstes Glied in der Sicherheitskette bestehen. Social Engineering nutzt gezielt diese Schwäche aus und umgeht damit selbst die fortschrittlichsten technischen Schutzmaßnahmen.
Die Verteilung der gestohlenen 44 Millionen Dollar auf sechs verschiedene Wallets zeigt die professionelle Herangehensweise der Angreifer. Diese Taktik erschwert nicht nur die Rückverfolgung der Gelder, sondern auch deren Wiederherstellung durch die Börse. Die koordinierte Ausführung des Angriffs innerhalb weniger Stunden demonstriert die Planung und Ressourcen, die moderne Cyberkriminelle in ihre Operationen investieren. Für die Krypto-Industrie bedeutet dies eine kontinuierliche Anpassung der Sicherheitsprotokolle und verstärkte Schulungen für Mitarbeiter im Umgang mit Social-Engineering-Versuchen.
