العنوان الأصلي: تدمير ما يقرب من 100 مليون دولار: مراجعة حادثة سرقة بورصة Nobitex الإيرانية
الخلفية
في 18 يونيو 2025، كشف المحقق في blockchain زاك إكس بي تي أن أكبر منصة تداول تشفير في إيران، نوبتيكس، تعرضت على ما يبدو لهجوم قرصنة، مما أدى إلى نقل غير طبيعي لأصول كبيرة عبر عدة سلاسل عامة.
!
()
أكدت Slow Mist (SlowMist) أيضا أن الأصول المتأثرة في الحادث غطت شبكات TRON و EVM و BTC ، مع خسارة مبدئية تقدر بحوالي 81.7 مليون دولار.
!
()
نوبتيكس أصدرت أيضًا إعلانًا يؤكد أن بعض البنية التحتية والمحافظ الساخنة قد تعرضت للوصول غير المصرح به، لكنها أكدت على أن أموال المستخدمين آمنة.
!
()
ومن الجدير بالذكر أن المهاجمين لم يقوموا فقط بتحويل الأموال، بل قاموا أيضًا بنقل كميات كبيرة من الأصول إلى عنوان خاص للتدمير، حيث بلغت قيمة الأصول التي تم "حرقها" ما يقرب من 100 مليون دولار.
!
()
** تمشيط الجدول الزمني **
18 يونيو
كشف ZachXBT عن تعرض بورصة العملات المشفرة الإيرانية Nobitex لاحتماﻻت هجوم قراصنة، حيث حدثت معاملات سحب مشبوهة بكميات كبيرة على شبكة TRON. كما أكدت SlowMist أن الهجوم يشمل عدة شبكات، وتم تقدير الخسائر الأولية بحوالي 81.7 مليون دولار.
قال نوبيتكس إن الفريق الفني اكتشف وصولا غير قانوني إلى بعض البنى التحتية والمحافظ الساخنة ، وقطع الواجهة الخارجية على الفور وفتح تحقيقا. تظل الغالبية العظمى من الأصول المخزنة في المحافظ الباردة غير متأثرة ، ويقتصر التسلل على جزء من محافظهم الساخنة التي تستخدم للسيولة اليومية.
منظمة الهاكرز Predatory Sparrow (Gonjeshke Darande) أعلنت مسؤوليتها عن هذا الهجوم، وأعلنت أنها ستقوم بنشر شفرة مصدر Nobitex وبياناتها الداخلية خلال 24 ساعة.
!
()
19 يونيو
أصدرت نوبيتكس البيان الرابع، قائلة إن المنصة حجبت تماما مسار الوصول الخارجي للخادم، وأن تحويل المحفظة الساخنة هو "ترحيل نشط يقوم به فريق الأمن لحماية الأموال". وفي الوقت نفسه، تم التأكيد رسميا على نقل الأصول المسروقة إلى بعض المحافظ ذات العناوين غير القياسية التي تتكون من أحرف عشوائية، والتي استخدمت لتدمير أصول المستخدمين التي يبلغ مجموعها حوالي 100 مليون دولار.
تدعي مجموعة القرصنة Predatory Sparrow (Gonjeshke Darande) أنها أحرقت ما قيمته حوالي 90 مليون دولار من الأصول المشفرة ووصفتها بأنها "أدوات التهرب من العقوبات".
قامت مجموعة القراصنة Predatory Sparrow (Gonjeshke Darande) بنشر شفرة مصدر Nobitex.
!
()
معلومات المصدر
استنادًا إلى معلومات الشيفرة المصدرية التي نشرها المهاجم، تم الحصول على معلومات المجلد كما يلي:
!
بشكل محدد، يتعلق الأمر بالمحتويات التالية:
!
تمت كتابة نظام Nobitex الأساسي بشكل أساسي بلغة Python ويتم نشره وإدارته باستخدام K8s. بناء على المعلومات المعروفة ، نعتقد أن المهاجم ربما يكون قد اخترق حدود التشغيل والصيانة ودخل الإنترانت.
تحليل MistTrack
استخدم المهاجمون عدة "عناوين تدمير" تبدو شرعية ولكنها غير قابلة للتحكم لاستقبال الأصول، حيث تتوافق معظم هذه العناوين مع قواعد التحقق من تنسيق العناوين على السلسلة، مما يسمح لها باستقبال الأصول بنجاح، ولكن بمجرد تحويل الأموال إليها، فإن ذلك يعادل التدمير الدائم. بالإضافة إلى ذلك، تحتوي هذه العناوين على كلمات ذات طابع عاطفي واستفزازي، مما يضفي طابعًا عدائيًا. فيما يلي بعض "عناوين التدمير" التي استخدمها المهاجمون:
TKFuckiRGCTerroristsNoBiTEXy2r7mNX
0xffFFfFFffFFffFfFffFFfFfFfFFFFfFfFFFFDead
1FuckiRGCTerroristsNoBiTEXXXaAovLX
DFuckiRGCTerroristsNoBiTEXXXWLW65t
FuckiRGCTerroristsNoBiTEXXXXXXXXXXXXXXXXXXXXXXXX
UQABFuckIRGCTerroristsNOBITEX1111111111111111 _jT
one19فكترر0فكترر0فكترر0xn7kj7u
rFuckiRGCTerroristsNoBiTEXypBrmUM
نستخدم أدوات تتبع وغسل الأموال على السلسلة MistTrack للتحليل، والخسائر في Nobitex غير مكتملة على النحو التالي:
!
وفقًا لتحليل MistTrack، أكمل المهاجمون 110,641 معاملة USDT و 2,889 معاملة TRX على TRON:
!
تشمل سلاسل EVM التي تم سرقتها من قبل المهاجمين بشكل رئيسي BSC و Ethereum و Arbitrum و Polygon و Avalanche، بالإضافة إلى العملات الرئيسية في كل نظام بيئي، هناك أيضًا العديد من الرموز مثل UNI و LINK و SHIB.
!
على Bitcoin ، قام المهاجمون بسرقة إجمالي قدره 18.4716 BTC ، حوالي 2086 معاملة.
!
على Dogechain ، سرق المهاجمون ما مجموعه 39,409,954.5439 DOGE ، حوالي 34,081 معاملة.
!
على سولانا، قام المهاجمون بسرقة SOL و WIF و RENDER:
!
في TON وHarmony وRipple، قام المهاجمون بسرقة 3,374.4 TON و35,098,851.74 ONE و373,852.87 XRP:
!
لقد أضافت MistTrack العناوين المعنية إلى قاعدة بيانات العناوين الخبيثة، وستستمر في مراقبة الاتجاهات ذات الصلة على السلسلة.
خاتمة
تذكّر حادثة Nobitex الصناعة مرة أخرى: الأمان هو ككل، يجب على المنصات تعزيز الحماية الأمنية، واعتماد آليات دفاع أكثر تقدمًا، خاصة بالنسبة للمنصات التي تستخدم المحافظ الساخنة في العمليات اليومية، فإن SlowMist( توصي:
عزل صارم لسلطات وطرق الوصول إلى المحافظ الساخنة والباردة، وإجراء تدقيق دوري لسلطات استدعاء المحفظة الساخنة؛
استخدام نظام مراقبة في الوقت الحقيقي على السلسلة (مثل MistEye) للحصول على معلومات شاملة عن التهديدات ومراقبة الأمان الديناميكي في الوقت المناسب؛
بالتعاون مع نظام مكافحة غسيل الأموال على السلسلة (مثل MistTrack) ، اكتشاف تدفقات الأموال غير الطبيعية في الوقت المناسب؛
تعزيز آلية الاستجابة للطوارئ لضمان القدرة على الاستجابة الفعالة خلال نافذة الذهب بعد وقوع الهجوم.
لا يزال التحقيق جارياً في الأحداث، وستتابع فريق أمان Slow Fog وتقوم بتحديث التقدم في الوقت المناسب.
شاهد النسخة الأصلية
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
ترتيب حادثة تدمير أصول بقيمة 100 مليون دولار في تبادل إيران
الكاتب: ليزا & 23pds
المحرر: شيري
العنوان الأصلي: تدمير ما يقرب من 100 مليون دولار: مراجعة حادثة سرقة بورصة Nobitex الإيرانية
الخلفية
في 18 يونيو 2025، كشف المحقق في blockchain زاك إكس بي تي أن أكبر منصة تداول تشفير في إيران، نوبتيكس، تعرضت على ما يبدو لهجوم قرصنة، مما أدى إلى نقل غير طبيعي لأصول كبيرة عبر عدة سلاسل عامة.
!
()
أكدت Slow Mist (SlowMist) أيضا أن الأصول المتأثرة في الحادث غطت شبكات TRON و EVM و BTC ، مع خسارة مبدئية تقدر بحوالي 81.7 مليون دولار.
!
()
نوبتيكس أصدرت أيضًا إعلانًا يؤكد أن بعض البنية التحتية والمحافظ الساخنة قد تعرضت للوصول غير المصرح به، لكنها أكدت على أن أموال المستخدمين آمنة.
!
()
ومن الجدير بالذكر أن المهاجمين لم يقوموا فقط بتحويل الأموال، بل قاموا أيضًا بنقل كميات كبيرة من الأصول إلى عنوان خاص للتدمير، حيث بلغت قيمة الأصول التي تم "حرقها" ما يقرب من 100 مليون دولار.
!
()
** تمشيط الجدول الزمني **
18 يونيو
!
()
19 يونيو
!
()
معلومات المصدر
استنادًا إلى معلومات الشيفرة المصدرية التي نشرها المهاجم، تم الحصول على معلومات المجلد كما يلي:
!
بشكل محدد، يتعلق الأمر بالمحتويات التالية:
!
تمت كتابة نظام Nobitex الأساسي بشكل أساسي بلغة Python ويتم نشره وإدارته باستخدام K8s. بناء على المعلومات المعروفة ، نعتقد أن المهاجم ربما يكون قد اخترق حدود التشغيل والصيانة ودخل الإنترانت.
تحليل MistTrack
استخدم المهاجمون عدة "عناوين تدمير" تبدو شرعية ولكنها غير قابلة للتحكم لاستقبال الأصول، حيث تتوافق معظم هذه العناوين مع قواعد التحقق من تنسيق العناوين على السلسلة، مما يسمح لها باستقبال الأصول بنجاح، ولكن بمجرد تحويل الأموال إليها، فإن ذلك يعادل التدمير الدائم. بالإضافة إلى ذلك، تحتوي هذه العناوين على كلمات ذات طابع عاطفي واستفزازي، مما يضفي طابعًا عدائيًا. فيما يلي بعض "عناوين التدمير" التي استخدمها المهاجمون:
نستخدم أدوات تتبع وغسل الأموال على السلسلة MistTrack للتحليل، والخسائر في Nobitex غير مكتملة على النحو التالي:
!
وفقًا لتحليل MistTrack، أكمل المهاجمون 110,641 معاملة USDT و 2,889 معاملة TRX على TRON:
!
تشمل سلاسل EVM التي تم سرقتها من قبل المهاجمين بشكل رئيسي BSC و Ethereum و Arbitrum و Polygon و Avalanche، بالإضافة إلى العملات الرئيسية في كل نظام بيئي، هناك أيضًا العديد من الرموز مثل UNI و LINK و SHIB.
!
على Bitcoin ، قام المهاجمون بسرقة إجمالي قدره 18.4716 BTC ، حوالي 2086 معاملة.
!
على Dogechain ، سرق المهاجمون ما مجموعه 39,409,954.5439 DOGE ، حوالي 34,081 معاملة.
!
على سولانا، قام المهاجمون بسرقة SOL و WIF و RENDER:
!
في TON وHarmony وRipple، قام المهاجمون بسرقة 3,374.4 TON و35,098,851.74 ONE و373,852.87 XRP:
!
لقد أضافت MistTrack العناوين المعنية إلى قاعدة بيانات العناوين الخبيثة، وستستمر في مراقبة الاتجاهات ذات الصلة على السلسلة.
خاتمة
تذكّر حادثة Nobitex الصناعة مرة أخرى: الأمان هو ككل، يجب على المنصات تعزيز الحماية الأمنية، واعتماد آليات دفاع أكثر تقدمًا، خاصة بالنسبة للمنصات التي تستخدم المحافظ الساخنة في العمليات اليومية، فإن SlowMist( توصي:
لا يزال التحقيق جارياً في الأحداث، وستتابع فريق أمان Slow Fog وتقوم بتحديث التقدم في الوقت المناسب.