Título original: Quase 100 milhões de dólares foram destruídos: Análise do caso de roubo da exchange iraniana Nobitex
Contexto
Em 18 de junho de 2025, o detetive on-chain ZachXBT revelou que a Nobitex, a maior plataforma de negociação de criptomoedas do Irã, era suspeita de ter sido hackeada, envolvendo a transferência anormal de grandes quantidades de ativos em várias cadeias públicas.
A Nobitex também emitiu um anúncio confirmando que algumas infraestruturas e hot wallets tiveram acesso não autorizado, mas ressaltou que os fundos dos usuários estão seguros.
É importante notar que os atacantes não apenas transferiram fundos, mas também transferiram ativamente uma grande quantidade de ativos para um endereço de destruição específico, com o valor dos ativos "queimados" chegando a quase 100 milhões de dólares.
ZachXBT revelou que a bolsa de criptomoedas iraniana Nobitex supostamente sofreu um ataque de hackers, com um grande número de transações de saída suspeitas ocorrendo na rede TRON. SlowMist) confirmou ainda que o ataque envolveu várias cadeias, com uma estimativa inicial de perdas em cerca de 8,17 milhões de dólares.
A Nobitex informou que a equipe técnica detectou acesso ilegal a parte da infraestrutura e das carteiras quentes, tendo imediatamente cortado as interfaces externas e iniciado uma investigação. A grande maioria dos ativos armazenados em carteiras frias não foi afetada, esta invasão limitou-se apenas a algumas carteiras quentes utilizadas para a liquidez diária.
O grupo hacker Predatory Sparrow (Gonjeshke Darande) reivindicou a responsabilidade pelo ataque e anunciou que irá divulgar o código-fonte e os dados internos da Nobitex dentro de 24 horas.
!
()
19 de junho
A Nobitex publicou a quarta declaração, afirmando que a plataforma bloqueou completamente os caminhos de acesso externo ao servidor, e que as transferências da carteira quente são uma "migração proativa feita pela equipe de segurança para garantir os fundos". Ao mesmo tempo, a empresa confirmou que os ativos roubados foram transferidos para algumas carteiras de endereços não padrão compostos por caracteres aleatórios, que foram usadas para destruir os ativos dos usuários, totalizando cerca de 100 milhões de dólares.
O grupo hacker Predatory Sparrow (Gonjeshke Darande) afirmou ter queimado ativos criptográficos no valor de cerca de 90 milhões de dólares, descrevendo-os como "ferramentas de evasão de sanções".
O grupo de hackers Predatory Sparrow (Gonjeshke Darande) tornou público o código-fonte Nobitex.
()
Informação do código fonte
De acordo com as informações do código fonte divulgadas pelo atacante, as informações da pasta são as seguintes:
Especificamente, envolve o seguinte:
O sistema principal do Nobitex é escrito principalmente em Python e implantado e gerenciado usando K8s. Com base nas informações conhecidas, adivinhamos que o invasor pode ter rompido o limite de O&M e entrado na intranet.
Análise do MistTrack
Os atacantes usaram vários "endereços de destruição" que parecem legítimos, mas na verdade são incontroláveis para receber ativos. A maioria desses endereços atende às regras de verificação do formato de endereços na blockchain e pode receber ativos com sucesso, mas uma vez que os fundos são transferidos, são permanentemente destruídos. Além disso, esses endereços contêm palavras emocionais e provocativas, carregando um significado de ataque. Alguns dos "endereços de destruição" utilizados pelos atacantes são os seguintes:
TKFuckiRGCTerroristsNoBiTEXy2r7mNX
0xffFFfFFffFFffFfFffFFfFfFfFFFFfFfFFFFDead
1FuckiRGCTerroristsNoBiTEXXXaAovLX
DFuckiRGCTerroristasNoBiTEXXXWLW65t
FuckiRGCTerroristsNoBiTEXXXXXXXXXXXXXXXXXXX
UQABFuckIRGCTerroristsNOBITEX1111111111111111_jT
one19fuckterr0rfuckterr0rfuckterr0rxn7kj7u
rFuckiRGCTerroristasNoBiTEXypBrmUM
Utilizamos a ferramenta de análise de combate à lavagem de dinheiro e rastreamento em blockchain MistTrack, e as perdas da Nobitex são estatisticamente as seguintes:
De acordo com a análise do MistTrack, os atacantes completaram 110.641 transações de USDT e 2.889 transações de TRX na TRON:
As cadeias EVM roubadas pelos atacantes incluem principalmente BSC, Ethereum, Arbitrum, Polygon e Avalanche, além das principais criptomoedas de cada ecossistema, também incluem vários tokens como UNI, LINK, SHIB, entre outros.
No Bitcoin, os atacantes roubaram um total de 18,4716 BTC, cerca de 2.086 transações.
Na Dogechain, os atacantes roubaram um total de 39.409.954,5439 DOGE, aproximadamente 34.081 transações.
Em Solana, um atacante rouba SOL, WIF e RENDER:
Em TON, Harmony e Ripple, os atacantes roubaram 3.374,4 TON, 35.098.851,74 ONE e 373.852,87 XRP, respectivamente:
O MistTrack adicionou os endereços relevantes ao banco de dados de endereços maliciosos e continuará a monitorar os movimentos on-chain relevantes.
Conclusão
O incidente Nobitex mais uma vez lembra a indústria de que a segurança é um todo, e as plataformas precisam fortalecer ainda mais a proteção de segurança e adotar mecanismos de defesa mais avançados, especialmente para plataformas que usam hot wallets para operações diárias (SlowMist) Recomendações:
Isolar rigorosamente as permissões e os caminhos de acesso das carteiras frias e quentes, auditar regularmente as permissões de chamada da carteira quente;
Adotar um sistema de monitoramento em tempo real na blockchain (como o MistEye) para obter informações abrangentes sobre ameaças e monitoramento de segurança dinâmico em tempo hábil;
Cooperar com sistemas de luta contra o branqueamento de capitais em cadeia (como o MistTrack) para detetar atempadamente fluxos anormais de fundos;
Reforçar o mecanismo de resposta a emergências, garantindo que se possa responder de forma eficaz no intervalo de ouro após um ataque.
O acompanhamento do incidente ainda está sob investigação, e a equipe de segurança do Slow Mist continuará acompanhando e atualizando o progresso em tempo hábil.
Ver original
O conteúdo é apenas para referência, não uma solicitação ou oferta. Nenhum aconselhamento fiscal, de investimento ou jurídico é fornecido. Consulte a isenção de responsabilidade para obter mais informações sobre riscos.
Análise do incidente de destruição anormal de ativos de 100 milhões de dólares no Irã exchange
Autor: Lisa & 23pds
Editora: Sherry
Título original: Quase 100 milhões de dólares foram destruídos: Análise do caso de roubo da exchange iraniana Nobitex
Contexto
Em 18 de junho de 2025, o detetive on-chain ZachXBT revelou que a Nobitex, a maior plataforma de negociação de criptomoedas do Irã, era suspeita de ter sido hackeada, envolvendo a transferência anormal de grandes quantidades de ativos em várias cadeias públicas.
()
SlowMist( 进一步确认,事件中受影响资产涵盖 TRON、EVM 及 BTC 网络,初步估算损失约为 8,170 万美元。
! [])https://img-cdn.gateio.im/webp-social/moments-1339b49fc2c794c2a593134267dcdb51.webp(
)(
A Nobitex também emitiu um anúncio confirmando que algumas infraestruturas e hot wallets tiveram acesso não autorizado, mas ressaltou que os fundos dos usuários estão seguros.
![])https://img-cdn.gateio.im/social/moments-d9a11bfaa7f33c82010d61b54d4a735e(
)(
É importante notar que os atacantes não apenas transferiram fundos, mas também transferiram ativamente uma grande quantidade de ativos para um endereço de destruição específico, com o valor dos ativos "queimados" chegando a quase 100 milhões de dólares.
![])https://img-cdn.gateio.im/webp-social/moments-b3986d41b3457cf3b763dce797006ac1.webp(
)(
Linha do tempo
18 de junho
!
()
19 de junho
()
Informação do código fonte
De acordo com as informações do código fonte divulgadas pelo atacante, as informações da pasta são as seguintes:
Especificamente, envolve o seguinte:
O sistema principal do Nobitex é escrito principalmente em Python e implantado e gerenciado usando K8s. Com base nas informações conhecidas, adivinhamos que o invasor pode ter rompido o limite de O&M e entrado na intranet.
Análise do MistTrack
Os atacantes usaram vários "endereços de destruição" que parecem legítimos, mas na verdade são incontroláveis para receber ativos. A maioria desses endereços atende às regras de verificação do formato de endereços na blockchain e pode receber ativos com sucesso, mas uma vez que os fundos são transferidos, são permanentemente destruídos. Além disso, esses endereços contêm palavras emocionais e provocativas, carregando um significado de ataque. Alguns dos "endereços de destruição" utilizados pelos atacantes são os seguintes:
Utilizamos a ferramenta de análise de combate à lavagem de dinheiro e rastreamento em blockchain MistTrack, e as perdas da Nobitex são estatisticamente as seguintes:
De acordo com a análise do MistTrack, os atacantes completaram 110.641 transações de USDT e 2.889 transações de TRX na TRON:
As cadeias EVM roubadas pelos atacantes incluem principalmente BSC, Ethereum, Arbitrum, Polygon e Avalanche, além das principais criptomoedas de cada ecossistema, também incluem vários tokens como UNI, LINK, SHIB, entre outros.
No Bitcoin, os atacantes roubaram um total de 18,4716 BTC, cerca de 2.086 transações.
Na Dogechain, os atacantes roubaram um total de 39.409.954,5439 DOGE, aproximadamente 34.081 transações.
Em Solana, um atacante rouba SOL, WIF e RENDER:
Em TON, Harmony e Ripple, os atacantes roubaram 3.374,4 TON, 35.098.851,74 ONE e 373.852,87 XRP, respectivamente:
O MistTrack adicionou os endereços relevantes ao banco de dados de endereços maliciosos e continuará a monitorar os movimentos on-chain relevantes.
Conclusão
O incidente Nobitex mais uma vez lembra a indústria de que a segurança é um todo, e as plataformas precisam fortalecer ainda mais a proteção de segurança e adotar mecanismos de defesa mais avançados, especialmente para plataformas que usam hot wallets para operações diárias (SlowMist) Recomendações:
O acompanhamento do incidente ainda está sob investigação, e a equipe de segurança do Slow Mist continuará acompanhando e atualizando o progresso em tempo hábil.