Оригинальное название: Уничтожено почти 100 миллионов долларов: кража иранской биржи Nobitex
Фон
18 июня 2025 года ончейн-детектив ZachXBT сообщил, что Nobitex, крупнейшая в Иране платформа для торговли криптовалютами, подозревается во взломе, связанном с аномальной передачей большого количества активов через несколько публичных сетей.
!
()
Slow Mist (SlowMist) также подтвердила, что пострадавшие активы в инциденте охватывали сети TRON, EVM и BTC, с предварительно оцененными потерями примерно в 81,7 миллиона долларов.
!
()
Nobitex также выпустила объявление, подтверждающее, что некоторые инфраструктуры и горячие кошельки действительно подверглись несанкционированному доступу, но подчеркивает, что безопасность средств пользователей не под угрозой.
!
()
Стоит отметить, что злоумышленники не только перевели средства, но и активно перевели значительные активы на специально созданный адрес для уничтожения, при этом стоимость «сожженных» активов составила почти 100 миллионов долларов.
!
()
Хронология
18 июня
ZachXBT сообщил, что иранская криптобиржа Nobitex подозревается во взломе, а в цепочке TRON произошло большое количество подозрительных транзакций по выводу средств. Slowmist (SlowMist) также подтвердил, что в атаке участвовало несколько цепей, с предварительной оценкой ущерба около 81,7 миллиона долларов.
Nobitex сообщила, что техническая команда обнаружила незаконный доступ к некоторой инфраструктуре и горячим кошелькам, немедленно отключила внешний интерфейс и начала расследование. Подавляющее большинство активов, хранящихся в холодных кошельках, остаются нетронутыми, а вторжение ограничено частью их горячих кошельков, которые используются для ежедневной ликвидности.
Хакерская группа Predatory Sparrow (Gonjeshke Darande) заявила о своей ответственности за эту атаку и объявила, что в течение 24 часов опубликует исходный код и внутренние данные Nobitex.
!
()
19 июня
Nobitex выступила с четвертым заявлением, в котором говорится, что платформа полностью заблокировала внешний доступ к серверу, а перевод горячего кошелька является «активной миграцией, сделанной командой безопасности для защиты средств». При этом официально подтверждено, что украденные активы были переведены на некие кошельки с нестандартными адресами, состоящие из произвольных символов, которые были использованы для уничтожения активов пользователей на общую сумму около $100 млн.
Хакерская группа Predatory Sparrow (Gonjeshke Darande) утверждает, что сожгла криптоактивы на сумму около 90 миллионов долларов и назвала их «инструментами для обхода санкций».
Хакерская группа Predatory Sparrow (Gonjeshke Darande) опубликовала исходный код Nobitex.
!
()
Исходная информация
Согласно информации о исходном коде, предоставленной злоумышленником, получена следующая информация о папке:
!
Конкретно это касается следующих аспектов:
!
Основная система Nobitex в основном написана на Python и использует K8s для развертывания и управления. Исходя из известных данных, мы предполагаем, что злоумышленник мог преодолеть границы эксплуатации и получить доступ к внутренней сети, здесь мы не будем углубляться в анализ.
Анализ MistTrack
Злоумышленник использует множественные, казалось бы, законные, но на самом деле неконтролируемые «адреса уничтожения» для получения активов, большинство из этих адресов соответствуют правилам проверки формата адресов on-chain, и могут успешно получать активы, но как только средства переведены, это эквивалентно безвозвратному уничтожению, и в то же время эти адреса также содержат эмоциональные и провокационные слова, которые носят агрессивный характер. Некоторые из «адресов уничтожения», используемых злоумышленником, следующие:
TKFuckiRGCTerroristsNoBiTEXy2r7mNX
0xffFFfFFffFFffFfFffFFfFfFfFFFFfFfFFFFDead
1FuckiRGCTerroristsNoBiTEXXXaAovLX
DFuckiRGCTerroristsNoBiTEXXXWLW65t
ФактиRGCTеррористыНетBiTEXXXXXXXXXXXXXXXXXXX
UQABFuckIRGCTerroristsNOBITEX1111111111111111_jT
one19fuckterr0rfuckterr0rfuckterr0rxn7kj7u
rFuckiRGCTerroristsNoBiTEXypBrmUM
Мы используем инструменты анализа по борьбе с отмыванием денег и отслеживанию MistTrack, чтобы провести анализ, потери Nobitex неполностью составляют следующие:
!
Согласно анализу MistTrack, атакующий завершил 110,641 сделок с USDT и 2,889 сделок с TRX на TRON:
!
Атакующие украли основные EVM цепи, включая BSC, Ethereum, Arbitrum, Polygon и Avalanche, помимо основных валют каждой экосистемы, также включают множество токенов, таких как UNI, LINK, SHIB.
!
На Bitcoin злоумышленники украли в общей сложности 18.4716 BTC, что составляет около 2086 транзакций.
!
На Dogechain злоумышленники украли в общей сложности 39,409,954.5439 DOGE, что составляет примерно 34,081 транзакций.
!
На Solana злоумышленники украли SOL, WIF и RENDER:
!
На TON, Harmony, Ripple злоумышленники украли 3,374.4 TON, 35,098,851.74 ONE и 373,852.87 XRP:
!
MistTrack добавил соответствующий адрес в базу данных злонамеренных адресов и будет продолжать следить за соответствующими действиями в сети.
Заключение
Событие Nobitex еще раз напоминает отрасли: безопасность - это целое, платформы должны дополнительно укрепить защиту, применять более современные механизмы защиты, особенно для платформ, использующих горячие кошельки для повседневной деятельности, SlowMist ( рекомендует:
Строго изолировать права и пути доступа холодного и горячего кошельков, регулярно проверять права доступа к горячему кошельку;
• Внедрение ончейн-систем мониторинга в режиме реального времени (таких как MistEye) для своевременного получения комплексной информации об угрозах и динамического мониторинга безопасности;
Совместно с системой противодействия отмыванию денег на блокчейне (например, MistTrack), своевременно выявлять аномальные потоки средств;
• Усилить механизм реагирования на чрезвычайные ситуации, чтобы обеспечить эффективное реагирование на атаку в рамках «золотого окна».
Расследование инцидента все еще продолжается, и команда безопасности Slow Mist будет постоянно следить за ситуацией и своевременно обновлять информацию о ходе расследования.
Посмотреть Оригинал
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Систематизация инцидента с уничтожением активов на 100 миллионов долларов на бирже Ирана
Автор: Лиса & 23pds
Редактор: Sherry
Оригинальное название: Уничтожено почти 100 миллионов долларов: кража иранской биржи Nobitex
Фон
18 июня 2025 года ончейн-детектив ZachXBT сообщил, что Nobitex, крупнейшая в Иране платформа для торговли криптовалютами, подозревается во взломе, связанном с аномальной передачей большого количества активов через несколько публичных сетей.
!
()
Slow Mist (SlowMist) также подтвердила, что пострадавшие активы в инциденте охватывали сети TRON, EVM и BTC, с предварительно оцененными потерями примерно в 81,7 миллиона долларов.
!
()
Nobitex также выпустила объявление, подтверждающее, что некоторые инфраструктуры и горячие кошельки действительно подверглись несанкционированному доступу, но подчеркивает, что безопасность средств пользователей не под угрозой.
!
()
Стоит отметить, что злоумышленники не только перевели средства, но и активно перевели значительные активы на специально созданный адрес для уничтожения, при этом стоимость «сожженных» активов составила почти 100 миллионов долларов.
!
()
Хронология
18 июня
!
()
19 июня
!
()
Исходная информация
Согласно информации о исходном коде, предоставленной злоумышленником, получена следующая информация о папке:
!
Конкретно это касается следующих аспектов:
!
Основная система Nobitex в основном написана на Python и использует K8s для развертывания и управления. Исходя из известных данных, мы предполагаем, что злоумышленник мог преодолеть границы эксплуатации и получить доступ к внутренней сети, здесь мы не будем углубляться в анализ.
Анализ MistTrack
Злоумышленник использует множественные, казалось бы, законные, но на самом деле неконтролируемые «адреса уничтожения» для получения активов, большинство из этих адресов соответствуют правилам проверки формата адресов on-chain, и могут успешно получать активы, но как только средства переведены, это эквивалентно безвозвратному уничтожению, и в то же время эти адреса также содержат эмоциональные и провокационные слова, которые носят агрессивный характер. Некоторые из «адресов уничтожения», используемых злоумышленником, следующие:
Мы используем инструменты анализа по борьбе с отмыванием денег и отслеживанию MistTrack, чтобы провести анализ, потери Nobitex неполностью составляют следующие:
!
Согласно анализу MistTrack, атакующий завершил 110,641 сделок с USDT и 2,889 сделок с TRX на TRON:
!
Атакующие украли основные EVM цепи, включая BSC, Ethereum, Arbitrum, Polygon и Avalanche, помимо основных валют каждой экосистемы, также включают множество токенов, таких как UNI, LINK, SHIB.
!
На Bitcoin злоумышленники украли в общей сложности 18.4716 BTC, что составляет около 2086 транзакций.
!
На Dogechain злоумышленники украли в общей сложности 39,409,954.5439 DOGE, что составляет примерно 34,081 транзакций.
!
На Solana злоумышленники украли SOL, WIF и RENDER:
!
На TON, Harmony, Ripple злоумышленники украли 3,374.4 TON, 35,098,851.74 ONE и 373,852.87 XRP:
!
MistTrack добавил соответствующий адрес в базу данных злонамеренных адресов и будет продолжать следить за соответствующими действиями в сети.
Заключение
Событие Nobitex еще раз напоминает отрасли: безопасность - это целое, платформы должны дополнительно укрепить защиту, применять более современные механизмы защиты, особенно для платформ, использующих горячие кошельки для повседневной деятельности, SlowMist ( рекомендует:
Расследование инцидента все еще продолжается, и команда безопасности Slow Mist будет постоянно следить за ситуацией и своевременно обновлять информацию о ходе расследования.