Título original: Se destruyeron cerca de 100 millones de dólares: Resumen del incidente de robo en la bolsa iraní Nobitex
Fondo
El 18 de junio de 2025, el detective en cadena ZachXBT reveló que la principal plataforma de intercambio de criptomonedas de Irán, Nobitex, supuestamente había sido víctima de un ataque de hackers, implicando transferencias anormales de grandes activos en múltiples cadenas públicas.
()
Slow Mist (SlowMist) confirmado además que los activos afectados en el incidente cubrían las redes TRON, EVM y BTC, con una pérdida estimada preliminar de aproximadamente USD 81.7 millones.
()
Nobitex también emitió un anuncio confirmando que parte de la infraestructura y las billeteras calientes efectivamente sufrieron acceso no autorizado, pero enfatizó que los fondos de los usuarios están seguros.
()
Es importante señalar que los atacantes no solo transfirieron fondos, sino que también enviaron activamente una gran cantidad de activos a una dirección de destrucción especial, con un valor de casi 100 millones de dólares en activos que fueron "quemados".
!
()
Línea de tiempo
18 de junio
ZachXBT reveló que se sospechaba que el exchange de criptomonedas iraní Nobitex había sido hackeado, y se produjeron un gran número de transacciones de retiro sospechosas en la cadena TRON. Slowmist (SlowMist) confirmado además que el ataque involucró a múltiples cadenas, con una estimación preliminar de alrededor de USD 81.7 millones en daños.
Nobitex dijo que el equipo técnico detectó el acceso ilegal a algunas infraestructuras y billeteras calientes, e inmediatamente cortó la interfaz externa e inició una investigación. La gran mayoría de los activos almacenados en billeteras frías no se ven afectados, y la intrusión se limita a una parte de sus billeteras calientes que se utilizan para la liquidez diaria.
El grupo de hackers Predatory Sparrow (Gonjeshke Darande) ha declarado ser responsable de este ataque y anuncia que publicará el código fuente y los datos internos de Nobitex en 24 horas.
!
()
19 de junio
Nobitex emitió la cuarta declaración, diciendo que la plataforma ha bloqueado completamente la ruta de acceso externo del servidor, y que la transferencia de la billetera caliente es "una migración activa realizada por el equipo de seguridad para proteger los fondos". Al mismo tiempo, se confirmó oficialmente que los activos robados se transfirieron a algunas billeteras con direcciones no estándar que consisten en caracteres arbitrarios, que se utilizaron para destruir activos de usuarios por un total de alrededor de USD 100 millones.
El grupo de hackers Predatory Sparrow (Gonjeshke Darande) afirma haber quemado activos criptográficos por un valor de aproximadamente 90 millones de dólares, y los llama "herramientas para evadir sanciones".
La organización hacker Predatory Sparrow (Gonjeshke Darande) ha hecho pública el código fuente de Nobitex.
!
()
Información del código fuente
Según la información del código fuente liberada por el atacante, la información de la carpeta es la siguiente:
En concreto, implica lo siguiente:
El sistema central de Nobitex está escrito principalmente en Python y se despliega y gestiona utilizando K8s. Basándonos en la información conocida, suponemos que el atacante puede haber roto el límite de O&M y haber entrado en la intranet.
Análisis de MistTrack
El atacante utiliza múltiples "direcciones de destrucción" aparentemente legítimas, pero en realidad incontrolables, para recibir activos, la mayoría de estas direcciones cumplen con las reglas de verificación del formato de direcciones en la cadena y pueden recibir activos con éxito, pero una vez que se transfieren los fondos, es equivalente a la destrucción permanente, y al mismo tiempo, estas direcciones también tienen palabras emocionales y provocativas, que son agresivas. Algunas de las "direcciones de destrucción" utilizadas por el atacante son las siguientes:
TKFuckiRGCTerroristsNoBiTEXy2r7mNX
0xffFFfFFffFFffFfFffFFfFfFfFFFFfFfFFFFDead
1FuckiRGCTerroristasNoBiTEXXXaAovLX
DFuckiRGCTerroristasNoBiTEXXXWLW65t
FuckiRGCTerroristsNoBiTEXXXXXXXXXXXXXXXXXXX
UQABFuckIRGCTerroristsNOBITEX1111111111111111_jT
one19fuckterr0rfuckterr0rfuckterr0rxn7kj7u
rFuckiRGCTerroristsNoBiTEXypBrmUM
Utilizamos la herramienta de análisis de anti-lavado de dinero y seguimiento en cadena MistTrack, las pérdidas de Nobitex se resumen de la siguiente manera:
Según el análisis de MistTrack, el atacante completó 110,641 transacciones de USDT y 2,889 transacciones de TRX en TRON:
Las cadenas EVM robadas por los atacantes incluyen principalmente BSC, Ethereum, Arbitrum, Polygon y Avalanche, y además de las monedas principales de cada ecosistema, también incluyen UNI, LINK, SHIB y otros tokens.
!
En Bitcoin, los atacantes robaron un total de 18,4716 BTC, unas 2.086 transacciones.
En Dogechain, los atacantes robaron un total de 39.409.954,5439 DOGE, unas 34.081 transacciones.
En Solana, los atacantes robaron SOL, WIF y RENDER:
En TON, Harmony y Ripple, los atacantes robaron respectivamente 3,374.4 TON, 35,098,851.74 ONE y 373,852.87 XRP:
MistTrack ha agregado las direcciones relevantes a la base de datos de direcciones maliciosas y continuará monitoreando los movimientos relevantes en la cadena.
Conclusión
El incidente de Nobitex recuerda una vez más a la industria que la seguridad es un todo, y que las plataformas deben fortalecer aún más la protección de la seguridad y adoptar mecanismos de defensa más avanzados, especialmente para las plataformas que usan billeteras calientes para las operaciones diarias (SlowMist) Recomendaciones:
Aísle estrictamente los permisos y las rutas de acceso de la billetera caliente y fría, y audite regularmente los permisos de llamadas de la billetera caliente;
Adoptar sistemas de monitoreo en tiempo real en cadena (como MistEye) para obtener inteligencia integral de amenazas y monitoreo de seguridad dinámico de manera oportuna;
Colaborar con sistemas de prevención de lavado de dinero en cadena (como MistTrack) para detectar a tiempo flujos de fondos anómalos;
Fortalecer los mecanismos de respuesta de emergencia para garantizar una respuesta efectiva dentro de la ventana dorada después de que ocurra un ataque.
La investigación sobre el evento aún está en curso, y el equipo de seguridad de Slow Mist continuará dando seguimiento y actualizará los avances de manera oportuna.
Ver originales
El contenido es solo de referencia, no una solicitud u oferta. No se proporciona asesoramiento fiscal, legal ni de inversión. Consulte el Descargo de responsabilidad para obtener más información sobre los riesgos.
Eventos de destrucción anormal de activos por 100 millones de dólares en el intercambio de Irán
Autor: Lisa & 23pds
Editor: Sherry
Título original: Se destruyeron cerca de 100 millones de dólares: Resumen del incidente de robo en la bolsa iraní Nobitex
Fondo
El 18 de junio de 2025, el detective en cadena ZachXBT reveló que la principal plataforma de intercambio de criptomonedas de Irán, Nobitex, supuestamente había sido víctima de un ataque de hackers, implicando transferencias anormales de grandes activos en múltiples cadenas públicas.
()
Slow Mist (SlowMist) confirmado además que los activos afectados en el incidente cubrían las redes TRON, EVM y BTC, con una pérdida estimada preliminar de aproximadamente USD 81.7 millones.
()
Nobitex también emitió un anuncio confirmando que parte de la infraestructura y las billeteras calientes efectivamente sufrieron acceso no autorizado, pero enfatizó que los fondos de los usuarios están seguros.
()
Es importante señalar que los atacantes no solo transfirieron fondos, sino que también enviaron activamente una gran cantidad de activos a una dirección de destrucción especial, con un valor de casi 100 millones de dólares en activos que fueron "quemados".
!
()
Línea de tiempo
18 de junio
!
()
19 de junio
!
()
Información del código fuente
Según la información del código fuente liberada por el atacante, la información de la carpeta es la siguiente:
En concreto, implica lo siguiente:
El sistema central de Nobitex está escrito principalmente en Python y se despliega y gestiona utilizando K8s. Basándonos en la información conocida, suponemos que el atacante puede haber roto el límite de O&M y haber entrado en la intranet.
Análisis de MistTrack
El atacante utiliza múltiples "direcciones de destrucción" aparentemente legítimas, pero en realidad incontrolables, para recibir activos, la mayoría de estas direcciones cumplen con las reglas de verificación del formato de direcciones en la cadena y pueden recibir activos con éxito, pero una vez que se transfieren los fondos, es equivalente a la destrucción permanente, y al mismo tiempo, estas direcciones también tienen palabras emocionales y provocativas, que son agresivas. Algunas de las "direcciones de destrucción" utilizadas por el atacante son las siguientes:
Utilizamos la herramienta de análisis de anti-lavado de dinero y seguimiento en cadena MistTrack, las pérdidas de Nobitex se resumen de la siguiente manera:
Según el análisis de MistTrack, el atacante completó 110,641 transacciones de USDT y 2,889 transacciones de TRX en TRON:
Las cadenas EVM robadas por los atacantes incluyen principalmente BSC, Ethereum, Arbitrum, Polygon y Avalanche, y además de las monedas principales de cada ecosistema, también incluyen UNI, LINK, SHIB y otros tokens.
!
En Bitcoin, los atacantes robaron un total de 18,4716 BTC, unas 2.086 transacciones.
En Dogechain, los atacantes robaron un total de 39.409.954,5439 DOGE, unas 34.081 transacciones.
En Solana, los atacantes robaron SOL, WIF y RENDER:
En TON, Harmony y Ripple, los atacantes robaron respectivamente 3,374.4 TON, 35,098,851.74 ONE y 373,852.87 XRP:
MistTrack ha agregado las direcciones relevantes a la base de datos de direcciones maliciosas y continuará monitoreando los movimientos relevantes en la cadena.
Conclusión
El incidente de Nobitex recuerda una vez más a la industria que la seguridad es un todo, y que las plataformas deben fortalecer aún más la protección de la seguridad y adoptar mecanismos de defensa más avanzados, especialmente para las plataformas que usan billeteras calientes para las operaciones diarias (SlowMist) Recomendaciones:
La investigación sobre el evento aún está en curso, y el equipo de seguridad de Slow Mist continuará dando seguimiento y actualizará los avances de manera oportuna.