Оригінальна назва: Майже $100 млн знищено: розслідування крадіжки іранської біржі Nobitex
Фон
18 червня 2025 року, блокчейн-детектив ZachXBT розкрив, що найбільша криптобіржа Ірану Nobitex, ймовірно, стала жертвою хакерської атаки, що призвела до аномального перенесення великих активів з кількох публічних блокчейнів.
!
()
Slow Mist (SlowMist) також підтвердила, що постраждалі активи в інциденті охоплювали мережі TRON, EVM і BTC, з попередніми оцінками збитків приблизно в $81,7 млн.
!
()
Nobitex також опублікувала заяву, в якій підтвердила, що деяка інфраструктура та гарячі гаманці дійсно зазнали несанкціонованого доступу, але підкреслила, що кошти користувачів у безпеці.
!
()
Варто зазначити, що зловмисники не лише перераховували кошти, а й активно переводили велику кількість активів на спеціально виготовлену адресу знищення, а "спалені" активи коштували майже $100 млн.
!
()
Хронологія
18 червня
ZachXBT розкрив, що іранська криптобіржа Nobitex, ймовірно, стала жертвою хакерської атаки, у якій на блокчейні TRON відбулося велике кількість підозрілих виведень коштів. SlowMist( додатково підтвердив, що атака торкнулася кількох блокчейнів, попередньо оцінюючи збитки приблизно в 81,7 мільйона доларів.
Nobitex повідомила, що технічна команда виявила несанкціонований доступ до частини інфраструктури та гарячих гаманців, тому було негайно відключено зовнішні інтерфейси та розпочато розслідування. Абсолютна більшість активів зберігається в холодних гаманцях і не постраждала, це вторгнення обмежено лише частиною гарячих гаманців, що використовуються для щоденної ліквідності.
Хакерська група Predatory Sparrow )Gonjeshke Darande( взяла на себе відповідальність за атаку і оголосила, що вихідний код Nobitex і внутрішні дані будуть оприлюднені протягом 24 годин.
Nobitex опублікував четверту заяву, в якій зазначено, що платформа повністю заблокувала зовнішні шляхи доступу до серверів, а перекази з гарячого гаманця є "активною міграцією, проведеною безпековою командою для забезпечення коштів". Водночас офіційно підтверджено, що вкрадені активи були переміщені до деяких гаманців, адреси яких складаються з випадкових символів, ці гаманці використовувалися для знищення активів користувачів, загалом близько 100 мільйонів доларів.
Хакерське угруповання Predatory Sparrow )Gonjeshke Darande( заявило, що знищило криптоактиви на суму близько 90 мільйонів доларів і назвало їх "інструментами для уникнення санкцій".
Хакерська організація Predatory Sparrow )Gonjeshke Darande( опублікувала вихідний код Nobitex.
Основна система Nobitex написана переважно на Python і розгорнута та керована за допомогою K8s. Виходячи з відомої інформації, ми припускаємо, що зловмисник міг пробити межу O&M і проникнути в інтранет.
Аналіз MistTrack
Зловмисник використовує кілька, здавалося б, законних, але насправді неконтрольованих «адрес знищення» для отримання активів, більшість із цих адрес відповідають правилам перевірки формату ончейн-адрес і можуть успішно отримувати активи, але як тільки кошти переведені, це еквівалентно постійному знищенню, і в той же час ці адреси також мають емоційні та провокаційні слова, які є агресивними. Ось деякі з «адрес знищення», які використовує зловмисник:
TKFuckiRGCTerroristsNoBiTEXy2r7mNX
0xffFFfFFffFFffFfFffFFfFfFfFFFFfFfFFFFDead
1FuckiRGCTerroristsNoBiTEXXXaAovLX
DFuckiRGCTerroristsNoBiTEXXXWLW65t
FuckiRGCTerroristsNoBiTEXXXXXXXXXXXXXXXXX
UQABFuckIRGCTerroristsNOBITEX1111111111111111_jT
one19фактерр0фактерр0фактерр0rxn7kj7u
rFuckiRGCTerroristsNoBiTEXypBrmUM
Ми використовуємо інструмент для аналізу відмивання грошей та відстеження MistTrack, попередні дані про збитки Nobitex виглядають так:
Зловмисники викрали основні EVM ланцюги, які включають BSC, Ethereum, Arbitrum, Polygon та Avalanche. Окрім основних монет кожної екосистеми, також були викрадені різноманітні токени, такі як UNI, LINK, SHIB.
MistTrack додав відповідні адреси до бази даних шахрайських адрес і буде продовжувати стежити за відповідними подіями в мережі.
Висновок
Інцидент з Nobitex ще раз нагадує галузі, що безпека – це єдине ціле, і платформам необхідно ще більше посилити захист безпеки та прийняти більш просунуті механізми захисту, особливо для платформ, які використовують гарячі гаманці для щоденних операцій )SlowMist( Рекомендації:
Строго ізолювати права та шляхи доступу холодного і гарячого гаманців, регулярно перевіряти права виклику гарячого гаманця;
Використання системи моніторингу в реальному часі на блокчейні (наприклад, MistEye) для своєчасного отримання всебічної інформації про загрози та динамічного моніторингу безпеки;
Співпрацюйте з ончейн-системами боротьби з відмиванням грошей (такими як MistTrack) для своєчасного виявлення аномального потоку коштів;
Посилити механізм реагування на надзвичайні ситуації, щоб забезпечити ефективну реакцію протягом «золотого вікна» після нападу.
Розслідування події триває, команда безпеки Slow Mist продовжить стежити за ситуацією та своєчасно оновлювати інформацію.
Переглянути оригінал
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Аналіз подій з аномальним знищенням активів на біржі Ірану на суму 100 мільйонів доларів
Автор: Ліза & 23pds
Редактор: Sherry
Оригінальна назва: Майже $100 млн знищено: розслідування крадіжки іранської біржі Nobitex
Фон
18 червня 2025 року, блокчейн-детектив ZachXBT розкрив, що найбільша криптобіржа Ірану Nobitex, ймовірно, стала жертвою хакерської атаки, що призвела до аномального перенесення великих активів з кількох публічних блокчейнів.
!
()
Slow Mist (SlowMist) також підтвердила, що постраждалі активи в інциденті охоплювали мережі TRON, EVM і BTC, з попередніми оцінками збитків приблизно в $81,7 млн.
!
()
Nobitex також опублікувала заяву, в якій підтвердила, що деяка інфраструктура та гарячі гаманці дійсно зазнали несанкціонованого доступу, але підкреслила, що кошти користувачів у безпеці.
!
()
Варто зазначити, що зловмисники не лише перераховували кошти, а й активно переводили велику кількість активів на спеціально виготовлену адресу знищення, а "спалені" активи коштували майже $100 млн.
!
()
Хронологія
18 червня
! [])https://img-cdn.gateio.im/webp-social/moments-57e775bc8218c3e9e044b647e8b314a1.webp(
)(
19 червня
! [])https://img-cdn.gateio.im/webp-social/moments-c131d3eb9f871935296e80c6952a8b00.webp(
)(
Інформація про вихідний код
Згідно з інформацією про вихідний код, опублікованою зловмисником, отримана інформація про папки така:
! [])https://img-cdn.gateio.im/webp-social/moments-8779c04a8cb0dabdf261eca82e0bb553.webp(
Конкретно, це стосується наступного:
! [])https://img-cdn.gateio.im/social/moments-f86ffd680ca3c4ee8a84a7eb9724(
Основна система Nobitex написана переважно на Python і розгорнута та керована за допомогою K8s. Виходячи з відомої інформації, ми припускаємо, що зловмисник міг пробити межу O&M і проникнути в інтранет.
Аналіз MistTrack
Зловмисник використовує кілька, здавалося б, законних, але насправді неконтрольованих «адрес знищення» для отримання активів, більшість із цих адрес відповідають правилам перевірки формату ончейн-адрес і можуть успішно отримувати активи, але як тільки кошти переведені, це еквівалентно постійному знищенню, і в той же час ці адреси також мають емоційні та провокаційні слова, які є агресивними. Ось деякі з «адрес знищення», які використовує зловмисник:
Ми використовуємо інструмент для аналізу відмивання грошей та відстеження MistTrack, попередні дані про збитки Nobitex виглядають так:
! [])https://img-cdn.gateio.im/webp-social/moments-c317bfd740c47bfe588f2d7a2fa1b1a3.webp(
Згідно з аналізом MistTrack, зловмисник завершив 110,641 транзакцію USDT і 2,889 транзакцій TRX на TRON:
! [])https://img-cdn.gateio.im/webp-social/moments-c87d899211671a67e483c50e7cc3e018.webp(
Зловмисники викрали основні EVM ланцюги, які включають BSC, Ethereum, Arbitrum, Polygon та Avalanche. Окрім основних монет кожної екосистеми, також були викрадені різноманітні токени, такі як UNI, LINK, SHIB.
! [])https://img-cdn.gateio.im/webp-social/moments-0740e6f7bc4fcbfd5bd46946e7ea1126.webp(
На Bitcoin зловмисники вкрали всього 18,4716 BTC, що становить приблизно 2,086 транзакцій.
! [])https://img-cdn.gateio.im/webp-social/moments-b3facbb7aaa47e0912f3c595db7782b2.webp(
На Dogechain зловмисники викрали загалом 39 409 954,5439 DOGE, приблизно 34 081 транзакцію.
! [])https://img-cdn.gateio.im/webp-social/moments-5fca2e6c61176f45528b75f65d273a78.webp(
На Solana зловмисники вкрали SOL, WIF та RENDER:
! [])https://img-cdn.gateio.im/webp-social/moments-265a0bee1fca4b3f98291fc422ddb1a6.webp(
На TON, Harmony, Ripple зловмисники вкрали відповідно 3,374.4 TON, 35,098,851.74 ONE і 373,852.87 XRP:
! [])https://img-cdn.gateio.im/webp-social/moments-3c7659ab01b16e5822b07a295c799ca8.webp(
MistTrack додав відповідні адреси до бази даних шахрайських адрес і буде продовжувати стежити за відповідними подіями в мережі.
Висновок
Інцидент з Nobitex ще раз нагадує галузі, що безпека – це єдине ціле, і платформам необхідно ще більше посилити захист безпеки та прийняти більш просунуті механізми захисту, особливо для платформ, які використовують гарячі гаманці для щоденних операцій )SlowMist( Рекомендації:
Розслідування події триває, команда безпеки Slow Mist продовжить стежити за ситуацією та своєчасно оновлювати інформацію.