Titre original : Près de 100 millions de dollars détruits : Récapitulatif de l'incident de vol de la bourse iranienne Nobitex
Contexte
Le 18 juin 2025, le détective blockchain ZachXBT a révélé que la plus grande plateforme de trading de crypto-monnaies d'Iran, Nobitex, aurait été victime d'une attaque de hackers, impliquant des transferts anormaux d'actifs importants sur plusieurs blockchains.
!
()
SlowMist( Après confirmation, les actifs affectés par l'incident incluent TRON, EVM et le réseau BTC, avec une perte préliminaire estimée à environ 8,17 millions de dollars.
Nobitex a également publié un avis confirmant que certaines infrastructures et portefeuilles chauds ont effectivement subi un accès non autorisé, mais a souligné que la sécurité des fonds des utilisateurs est garantie.
Il convient de noter que les attaquants ont non seulement transféré des fonds, mais aussi activement transféré un grand nombre d’actifs à une adresse de destruction spécialement conçue, et que les actifs « brûlés » valaient près de 100 millions de dollars.
ZachXBT a révélé que l'échange de cryptomonnaies iranien Nobitex aurait été victime d'une attaque de hackers, avec de nombreuses transactions de retrait suspectes sur la chaîne TRON. SlowMist) a confirmé que l'attaque impliquait plusieurs chaînes, avec une estimation préliminaire des pertes d'environ 8,170 millions de dollars.
Nobitex a déclaré que l’équipe technique a détecté un accès illégal à certaines infrastructures et portefeuilles chauds, et a immédiatement coupé l’interface externe et lancé une enquête. La grande majorité des actifs stockés dans les portefeuilles froids ne sont pas affectés, et l’intrusion se limite à une partie de leurs portefeuilles chauds qui sont utilisés pour la liquidité quotidienne.
Le groupe de pirates informatiques Predatory Sparrow (Gonjeshke Darande) revendiqué la responsabilité de l’attaque et annoncé que le code source et les données internes de Nobitex seraient publiés dans les 24 heures.
!
()
19 juin
Nobitex a publié la quatrième déclaration, affirmant que la plate-forme a complètement bloqué le chemin d’accès externe du serveur, et que le transfert de portefeuille chaud est « une migration active effectuée par l’équipe de sécurité pour protéger les fonds ». Dans le même temps, il a été officiellement confirmé que les actifs volés ont été transférés vers des portefeuilles avec des adresses non standard composées de caractères arbitraires, qui ont été utilisés pour détruire des actifs d’utilisateurs totalisant environ 100 millions de dollars.
Le groupe de piratage Predatory Sparrow (Gonjeshke Darande) affirme avoir brûlé environ 90 millions de dollars d’actifs cryptographiques et les a qualifiés d'"outils de contournement des sanctions ».
Le groupe de hackers Predatory Sparrow (Gonjeshke Darande) a rendu public le code source de Nobitex.
!
()
Informations sur le code source
Selon les informations du code source publiées par l'attaquant, les informations sur le dossier sont les suivantes :
Plus précisément, cela concerne les éléments suivants :
!
Le système de base de Nobitex est écrit principalement en Python et déployé et géré à l’aide de K8s. Sur la base des informations connues, nous supposons que l’attaquant a peut-être franchi la limite d’O&M et est entré dans l’intranet.
Analyse de MistTrack
L’attaquant utilise plusieurs « adresses de destruction » apparemment légitimes, mais en fait incontrôlables, pour recevoir des actifs, la plupart de ces adresses sont conformes aux règles de vérification du format d’adresse on-chain et peuvent recevoir avec succès des actifs, mais une fois les fonds transférés, cela équivaut à une destruction permanente, et en même temps, ces adresses ont également des mots émotionnels et provocateurs, qui sont agressifs. Voici quelques-unes des « adresses de destruction » utilisées par l’attaquant :
TKFuckiRGCTerroristesNoBiTEXy2r7mNX
0xffFFfFFffFFffFfFffFFfFfFfFFFFfFfFFFFDead
1FuckiRGCTerroristsNoBiTEXXXaAovLX
DFuckiRGCTerroristesNoBiTEXXXWLW65t
FuckiRGCTerroristsNoBiTEXXXXXXXXXXXXXXXXXXX
UQABFuckIRGCTerroristesNOBITEX1111111111111111_jT
one19fuckterr0rfuckterr0rfuckterr0rxn7kj7u
rFuckiRGCTerroristsNoBiTEXypBrmUM
Nous utilisons l'outil de traçage et de lutte contre le blanchiment d'argent en chaîne MistTrack pour analyser, les pertes de Nobitex sont partiellement récapitulées comme suit :
!
Selon l’analyse de MistTrack, les attaquants ont effectué 110 641 transactions USDT et 2 889 transactions TRX sur TRON :
!
Les chaînes EVM volées par les attaquants comprennent principalement BSC, Ethereum, Arbitrum, Polygon et Avalanche, en plus des principales cryptomonnaies de chaque écosystème, elles incluent également plusieurs jetons tels que UNI, LINK, SHIB.
Sur Bitcoin, les attaquants ont volé au total 18,4716 BTC, soit environ 2 086 transactions.
Sur Dogechain, les attaquants ont volé au total 39 409 954,5439 DOGE, soit environ 34 081 transactions.
!
Sur Solana, un attaquant vole SOL, WIF et RENDER :
Sur TON, Harmony et Ripple, les attaquants ont respectivement volé 3 374,4 TON, 35 098 851,74 ONE et 373 852,87 XRP :
MistTrack a ajouté les adresses concernées à sa base de données d'adresses malveillantes et continuera de surveiller les développements sur la chaîne.
Conclusion
L’incident de Nobitex rappelle une fois de plus à l’industrie que la sécurité est un tout, et que les plateformes doivent renforcer davantage la protection de la sécurité et adopter des mécanismes de défense plus avancés, en particulier pour les plateformes qui utilisent des portefeuilles chauds pour leurs opérations quotidiennes (SlowMist) Recommandations :
Isoler strictement les permissions et les chemins d'accès des portefeuilles chauds et froids, auditer régulièrement les permissions d'appel du portefeuille chaud ;
Utiliser un système de surveillance en temps réel sur la chaîne (comme MistEye) pour obtenir rapidement des renseignements sur les menaces et une surveillance de la sécurité dynamique.
En collaboration avec le système de lutte contre le blanchiment d'argent sur la chaîne (tel que MistTrack), détecter rapidement les flux de fonds anormaux ;
Renforcer le mécanisme de réponse d'urgence pour garantir une réaction efficace dans la fenêtre d'or après qu'une attaque se soit produite.
L'enquête sur l'incident est toujours en cours, l'équipe de sécurité de SlowMist continuera à suivre et mettra à jour les progrès en temps opportun.
Voir l'original
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Événements de destruction anormale d'actifs de 100 millions de dollars à la plateforme d'échange iranienne
Auteur : Lisa & 23pds
Éditeur : Sherry
Titre original : Près de 100 millions de dollars détruits : Récapitulatif de l'incident de vol de la bourse iranienne Nobitex
Contexte
Le 18 juin 2025, le détective blockchain ZachXBT a révélé que la plus grande plateforme de trading de crypto-monnaies d'Iran, Nobitex, aurait été victime d'une attaque de hackers, impliquant des transferts anormaux d'actifs importants sur plusieurs blockchains.
!
()
SlowMist( Après confirmation, les actifs affectés par l'incident incluent TRON, EVM et le réseau BTC, avec une perte préliminaire estimée à environ 8,17 millions de dollars.
![])https://img-cdn.gateio.im/webp-social/moments-1339b49fc2c794c2a593134267dcdb51.webp(
)(
Nobitex a également publié un avis confirmant que certaines infrastructures et portefeuilles chauds ont effectivement subi un accès non autorisé, mais a souligné que la sécurité des fonds des utilisateurs est garantie.
![])https://img-cdn.gateio.im/social/moments-d9a11bfaa7f33c82010d61b54d4a735e(
)(
Il convient de noter que les attaquants ont non seulement transféré des fonds, mais aussi activement transféré un grand nombre d’actifs à une adresse de destruction spécialement conçue, et que les actifs « brûlés » valaient près de 100 millions de dollars.
![])https://img-cdn.gateio.im/webp-social/moments-b3986d41b3457cf3b763dce797006ac1.webp(
)(
Chronologie
18 juin
!
()
19 juin
Nobitex a publié la quatrième déclaration, affirmant que la plate-forme a complètement bloqué le chemin d’accès externe du serveur, et que le transfert de portefeuille chaud est « une migration active effectuée par l’équipe de sécurité pour protéger les fonds ». Dans le même temps, il a été officiellement confirmé que les actifs volés ont été transférés vers des portefeuilles avec des adresses non standard composées de caractères arbitraires, qui ont été utilisés pour détruire des actifs d’utilisateurs totalisant environ 100 millions de dollars. Le groupe de piratage Predatory Sparrow (Gonjeshke Darande) affirme avoir brûlé environ 90 millions de dollars d’actifs cryptographiques et les a qualifiés d'"outils de contournement des sanctions ».
!
()
Informations sur le code source
Selon les informations du code source publiées par l'attaquant, les informations sur le dossier sont les suivantes :
Plus précisément, cela concerne les éléments suivants :
!
Le système de base de Nobitex est écrit principalement en Python et déployé et géré à l’aide de K8s. Sur la base des informations connues, nous supposons que l’attaquant a peut-être franchi la limite d’O&M et est entré dans l’intranet.
Analyse de MistTrack
L’attaquant utilise plusieurs « adresses de destruction » apparemment légitimes, mais en fait incontrôlables, pour recevoir des actifs, la plupart de ces adresses sont conformes aux règles de vérification du format d’adresse on-chain et peuvent recevoir avec succès des actifs, mais une fois les fonds transférés, cela équivaut à une destruction permanente, et en même temps, ces adresses ont également des mots émotionnels et provocateurs, qui sont agressifs. Voici quelques-unes des « adresses de destruction » utilisées par l’attaquant :
Nous utilisons l'outil de traçage et de lutte contre le blanchiment d'argent en chaîne MistTrack pour analyser, les pertes de Nobitex sont partiellement récapitulées comme suit :
!
Selon l’analyse de MistTrack, les attaquants ont effectué 110 641 transactions USDT et 2 889 transactions TRX sur TRON :
!
Les chaînes EVM volées par les attaquants comprennent principalement BSC, Ethereum, Arbitrum, Polygon et Avalanche, en plus des principales cryptomonnaies de chaque écosystème, elles incluent également plusieurs jetons tels que UNI, LINK, SHIB.
Sur Bitcoin, les attaquants ont volé au total 18,4716 BTC, soit environ 2 086 transactions.
Sur Dogechain, les attaquants ont volé au total 39 409 954,5439 DOGE, soit environ 34 081 transactions.
!
Sur Solana, un attaquant vole SOL, WIF et RENDER :
Sur TON, Harmony et Ripple, les attaquants ont respectivement volé 3 374,4 TON, 35 098 851,74 ONE et 373 852,87 XRP :
MistTrack a ajouté les adresses concernées à sa base de données d'adresses malveillantes et continuera de surveiller les développements sur la chaîne.
Conclusion
L’incident de Nobitex rappelle une fois de plus à l’industrie que la sécurité est un tout, et que les plateformes doivent renforcer davantage la protection de la sécurité et adopter des mécanismes de défense plus avancés, en particulier pour les plateformes qui utilisent des portefeuilles chauds pour leurs opérations quotidiennes (SlowMist) Recommandations :
L'enquête sur l'incident est toujours en cours, l'équipe de sécurité de SlowMist continuera à suivre et mettra à jour les progrès en temps opportun.