CoinDCX Hack की घटना तब सामने आई जब 19 जुलाई 2025 की रात 2:37 बजे CoinDCX के थ्रेडकी से मात्र 1 USDT ट्रांसफर हुआ। जिसके कुछ ही घंटों में लगभग $44 मिलियन (लगभग ₹378-₹385 करोड़) की रकम छह विभिन्न वॉलेटों में ट्रांसफर कर दी गई। इसमें सबसे चौंकाने वाली बात यह थी कि हैकर्स ने कंपनी के ही एक कर्मचारी, राहुल अग्रवाल के ऑफिस लैपटॉप का उपयोग करके यह हमला किया।   

आरोप का केंद्र, राहुल अग्रवाल कौन हैं?

• राहुल अग्रवाल, CoinDCX (Neblio Technologies) में स्टाफ इंजीनियर है, लगभग दो वर्षों से कंपनी में है और अप्रैल 2025 में पदोन्नति के बाद ऑन-साइट काम कर रहे था।
• मूलतः झारखंड के रहने वाले राहुल को कंपनी की ओर से केवल ऑफिस कार्यों के लिए लैपटॉप दिया गया था।
• रिपोर्ट में सामने आया कि उन्होंने अनधिकृत रूप से फ्रीलांसिंग (Moonlighting) की, Google Review, ऑनलाइन टास्क आदि। जिसमें लगभग ₹15 लाख की कमाई दर्ज की गई थी।

हैकर्स ने राहुल को कैसे फंसाया?

1. सोशल इंजीनियरिंग ट्रिक: पुलिस मानती है कि हैकर्स ने राहुल को जॉब ऑफर की तरह फाइल भेजी, संभवतः एक जर्मन नंबर से WhatsApp Call कर फाइल भेजी, जिसे खोलते ही मालवेयर इंस्टॉल हो गया।
2. मालवेयर के माध्यम से लॉगिन क्रेडेंशियल्स चोरी: इसी धोखे से राहुल के ऑफिस लैपटॉप पर लॉगिन डिटेल्स चुराकर हैकर्स ने कॉर्पोरेट “लिक्विडिटी वॉलेट” तक पहुंच बनाई।
3. पहला टेस्ट ट्रांसफर: 1 USDT भेजकर हैकर्स ने चेक किया कि सिस्टम तक पहुंच है या नहीं।
4. मुख्य चोरी: अगले 6-7 घंटे में $44 मिलियन छह वॉलेट्स में भेज दिए गए। अलग-अलग देशों और मिक्सर ऐप्स के जरिए ट्रेसिंग मुश्किल बनाई गई।

CoinDCX Hack में क़ानूनी कार्रवाही 

Neblio Technologies के वाइस‑प्रेसिडेंट Hardeep Singh ने 22 जुलाई को Whitefield CEN साइबर पुलिस में शिकायत दर्ज करवाई। जिसके बाद FIR में निम्न धाराएँ दर्ज की गई :

• IPC: धारा 420 (धोखाधड़ी), 403 (गलत तरीके से असेट्स का इस्तेमाल), 318 (cheating), 319 (cheating by personation), 316 (criminal breach of trust) आदि।
• IT Act (2000): धारा 43 (damage to computer), 66, 66(c) (identity theft), 66(d) (cheating by personation using computer resources) शामिल हैं।

पुलिस ने राहुल अग्रवाल को 26 जुलाई को न्यायिक हिरासत में भेज दिया है, जबकि जांच जारी है कि वह सक्रिय रूप से साजिश में शामिल था या सिर्फ एक “tool” के रूप में इस्तेमाल किया गया।

CoinDCX की प्रतिक्रिया और फंड रिकवरी के चांस

• CoinDCX Hack का आरोपी गिरफ्तार होने के बाद CEO Sumit Gupta ने X पर लिखा कि यह एक “sophisticated Social Engineering Attack” था। उन्होंने मीडिया से अफवाहें फैलाने से परहेज करने की अपील की क्योंकि मामला जांचाधीन है।
• कंपनी ने Recovery Bounty Programme की शुरुआत की, जिसमें $11 मिलियन (25%) तक का इनाम रखा गया है किसी भी Recovered Amount पर।
• CoinDCX ने स्पष्ट किया कि कस्टमर फंड सुरक्षित हैं, यह नुकसान कंपनी के खुद के ट्रेज़री वॉलेट से हुआ था, यूज़र वॉलेट को कोई नुकसान नहीं पहुंचा।  

Source - यह इमेज CoinDCX CEO Sumit Gupta की X Post से ली गई है। X Post की Link  

वॉलेट्स विभिन्न देशों में हैं, कई स्थितियाँ भारत‑सहयोग नहीं करता, मल्टी-हॉप ट्रांसफर और मिक्सर ऐप्स से ट्रेसिंग बेहद कठिन है। FIR हुई है, ग्लोबल ब्लॉकचेन जांच एजेंसियों और फोरेंसिक एक्सपर्ट्स काम कर रहे हैं, लेकिन उच्च संभावना है कि अधिकांश राशि ट्रेस किए बिना चली जाए।

कर्मचारियों और एक्सचेंजों को क्या सावधानी रखनी चाहिए?

कर्मचारियों के लिए:

• कभी कंपनी लैपटॉप पर फ्रीलांस टास्क न करें, खासकर अनजाने स्रोतों से फाइल न खोलें।
• अनजान WhatsApp Call या लिंक न एक्सेप्ट करें, Phishing और Social Engineering पर सतर्क रहें।
• मल्टी‑फैक्टर ऑथेंटिकेशन (MFA) हर लॉगिन पर इस्तेमाल करें।
• कंपनी नियमों का उल्लंघन न करें, Unauthorized Software या Remote Access की अनुमति न दें।

एक्सचेंजों के लिए:

• ऑफिस लैपटॉप और नेटवर्क पर रेगुलर Endpoint Security Scans करें।
• नियमित Employee Training आयोजित करें, Phishing Awareness, Social Engineering Detection आदि।
• लॉगिन क्रेडेंशियल्स के लिए Hardware-Based Authentication जैसे YubiKey, FIDO‑2 अपनाएँ।
• एक्सेस कंट्रोल स्ट्रिक्ट करें, केवल ज़रूरत वाले कर्मचारियों को ही एडमिनिस्ट्रेटिव नेटवर्क एक्सेस दें।
• Internal Transactional Accounts, जैसे liquidity wallets) को अलग Network /Segmented Environment में रखें।
• रेगुलर सिक्योरिटी ऑडिट और Red team assessments करें।

क्रिप्टो यूजर्स के लिए सीख

• Stablecoins या Internal Treasury Wallets से भी सामान्य यूज़र फंड पूरी तरह सिक्योर रह सकते हैं, लेकिन प्लेटफ़ॉर्म की विश्वसनीयता पर भरोसा जरूरी है।
• एक्सचेंज चुनते समय उसकी सिक्योरिटी पॉलिसी, डाटा भंग को रोकने की तैयारी और कर्मचारियों की डिजिटलह हाइजिन पर ध्यान दें।
• रेगुलेशन का अभाव खतरों को बढ़ाता है, KYC/AML, FIU‑IND और ED की जवाबदेही, ट्रांजैक्शन मॉनिटरिंग जरूरी है।

आगे क्या हो सकता है?

• यदि फंड का ट्रेस मिल जाता है, तो CoinDCX 25% बाउंटी के अंतर्गत लौटाए गए पैसे का हिस्सा पाने वाले को दे सकता है।
• Rahul के खिलाफ दर्ज धाराओं के आधार पर criminal prosecution संभव है, IPC व IT Act के तहत धारा 420, 66(d) आदि में सजा हो सकती है।
• CoinDCX के इंटर्नल सिक्योरिटी प्रोसेस में सुधार होगा, और संभवत: भारतीय नियामक निकायों जैसे SEBI, RBI, FIU‑IND के लिए नया गाइडलाइन प्रेसर मिलेगा।

कन्क्लूजन 

मैं अपने 13 वर्षों के अनुभव से यह कह सकता हूँ कि क्रिप्टो सुरक्षा सिर्फ तकनीकी समाधान नहीं बल्कि ह्यूमन फैक्टर पर भी निर्भर करती है। अगर टेक्नोलॉजी मजबूत हो भी लेकिन यदि कर्मचारी केयरलेस हो जाएं, जैसे अनचाही फाइल खोलना, मूनलाइटिंग करना, तो वह सिक्योरिटी की सबसे बड़ी कमजोर कड़ी बन सकते हैं।

CoinDCX Hack इस बात का सबूत है कि संस्थाएँ केवल फायरवॉल या इनक्रिप्शन से नहीं बच सकतीं, उन्हें नियमित साइबर टैस्टिंग, Employee Behaviour Monitoring, Endpoint Isolation और Strict Compliance नियम लागू करने चाहिए। एक कंपनी का ट्रेज़री अकाउंट अगर Compromised हो सकता है, तो यूज़र वॉलेट कितने सिक्योर हो सकते हैं, इस पर भी सवाल उठता है।