Başlık: Yaklaşık 100 milyon dolar yok edildi: İran borsa Nobitex'in çalınma olayı incelemesi
Arka plan
18 Haziran 2025'te zincir üstü dedektif ZachXBT, İran'ın en büyük kripto ticaret platformu olan Nobitex'in saldırıya uğradığından şüphelenildiğini ve büyük miktarda varlığın birden fazla halka açık zincir arasında anormal bir şekilde aktarılmasını içerdiğini açıkladı.
()
SlowMist( Daha fazla onaylama, olayda etkilenen varlıkların TRON, EVM ve BTC ağlarını kapsadığını gösteriyor, tahmini kaybın yaklaşık 81,7 milyon dolar olduğu değerlendirilmektedir.
Nobitex ayrıca bazı altyapı ve sıcak cüzdanların yetkisiz erişime maruz kaldığını doğrulayan bir açıklama yaptı, ancak kullanıcı fonlarının güvende olduğunu vurguladı.
Saldırganların sadece para transfer etmekle kalmayıp, aynı zamanda çok sayıda varlığı aktif olarak özel hazırlanmış bir imha adresine aktardığını ve "yanmış" varlıkların yaklaşık 100 milyon dolar değerinde olduğunu belirtmekte fayda var.
ZachXBT, İran kripto borsası Nobitex'in hacklendiğinden şüphelenildiğini ve TRON zincirinde çok sayıda şüpheli para çekme işlemi gerçekleştiğini açıkladı. Slowmist )SlowMist(, saldırının birden fazla zincir içerdiğini ve yaklaşık 81,7 milyon dolarlık bir ön tahminle doğruladı.
Nobitex, teknik ekibin bazı altyapıya ve sıcak cüzdanlara yasa dışı erişim tespit ettiğini ve hemen harici arayüzü keserek soruşturma başlattığını söyledi. Soğuk cüzdanlarda saklanan varlıkların büyük çoğunluğu etkilenmeden kalır ve izinsiz giriş, günlük likidite için kullanılan sıcak cüzdanlarının bir kısmıyla sınırlıdır.
Bilgisayar korsanlığı grubu Predatory Sparrow )Gonjeshke Darande(, saldırının sorumluluğunu üstlendi ve Nobitex kaynak kodunun ve dahili verilerin 24 saat içinde yayınlanacağını duyurdu.
Nobitex, dördüncü bildirisini yayınlayarak platformun sunucularına dış erişim yollarını tamamen kapattığını ve sıcak cüzdan transferlerinin "güvenlik ekibinin fonları korumak için yaptığı proaktif taşınma" olduğunu belirtti. Aynı zamanda, resmi olarak çalınan varlıkların, rastgele karakterlerden oluşan standart dışı adreslere sahip cüzdanlara aktarıldığını doğruladı; bu cüzdanlar kullanıcı varlıklarını yok etmek için kullanıldı ve toplamda yaklaşık 100 milyon dolar.
Hacker grubu Predatory Sparrow )Gonjeshke Darande(, yaklaşık 90 milyon dolar değerinde kripto varlık yakıldığını iddia etti ve bunları "yaptırım kaçırma aracı" olarak nitelendirdi.
Hacker grubu Predatory Sparrow )Gonjeshke Darande(, Nobitex kaynak kodunu herkese açık hale getirdi.
Nobitex'in çekirdek sistemi esas olarak Python ile yazılmıştır ve dağıtım ve yönetim için K8s kullanılmaktadır. Bilinen bilgilerle, saldırganların muhtemelen işletim sınırlarını aşarak iç ağa girdiğini tahmin ediyoruz; burada analizi genişletmeyeceğiz.
MistTrack Analizi
Saldırgan, varlıkları almak için görünüşte meşru ancak aslında kontrol edilemeyen birden fazla "imha adresi" kullanır, bu adreslerin çoğu zincir üstü adres formatı doğrulama kurallarına uygundur ve varlıkları başarıyla alabilir, ancak fonlar bir kez transfer edildiğinde, kalıcı yıkıma eşdeğerdir ve aynı zamanda bu adreslerde agresif olan duygusal ve kışkırtıcı kelimeler de bulunur. Saldırgan tarafından kullanılan "yok etme adreslerinden" bazıları şunlardır:
TKFuckiRGCTeröristlerNoBiTEXy2r7mNX
0xffFFfFFffFFffFfFffFFfFfFfFFFFfFfFFFFDead
1FuckiRGCTerroristsNoBiTEXXXaAovLX
DFuckiRGCTerroristsNoBiTEXXXWLW65t
FuckiRGCTeröristleriNoBiTEXXXXXXXXXXXXXXXXXXX
UQABFuckIRGCTerroristsNOBITEX1111111111111111_jT
one19fuckterr0rfuckterr0rfuckterr0rxn7kj7u
rFuckiRGCTerroristsNoBiTEXypBrmUM
Nobitex'in kayıplarının eksik istatistiklerini aşağıdaki gibi analiz etmek için zincir üstü bir kara para aklama ve izleme aracı olan MistTrack'i kullandık:
Saldırganlar tarafından çalınan EVM zincirleri esas olarak BSC, Ethereum, Arbitrum, Polygon ve Avalanche'ı içerir ve her ekosistemin ana para birimlerine ek olarak UNI, LINK, SHIB ve diğer tokenleri de içerir.
MistTrack, ilgili adresleri kötü niyetli adresler listesine ekledi ve ilgili blok zinciri üzerindeki gelişmeleri izlemeye devam edecek.
Sonuç
Nobitex olayı bir kez daha sektöre hatırlatıyor: güvenlik bir bütün olarak ele alınmalıdır, platformların güvenlik korumasını daha da güçlendirmesi ve daha gelişmiş savunma mekanizmaları kullanması gerekiyor, özellikle günlük operasyonlar için sıcak cüzdan kullanan platformlar için, SlowMist) öneriyor:
Soğuk ve sıcak cüzdan yetkilerini ve erişim yollarını sıkı bir şekilde izole edin, sıcak cüzdan çağrı yetkilerini düzenli olarak denetleyin;
Zincir üstü gerçek zamanlı izleme sistemi (örneğin MistEye) kullanarak, kapsamlı tehdit istihbaratı ve dinamik güvenlik izleme bilgilerini zamanında almak;
Zincir üzerindeki kara para aklama sistemleri (örneğin MistTrack) ile işbirliği yaparak, fonların anormal akışlarını zamanında tespit edin;
Acil durum yanıt mekanizmasını güçlendirin, saldırı gerçekleştiğinde altın pencerede etkili bir şekilde yanıt verebilmek için.
Olayın ardından soruşturmalar devam ediyor, Slow Mist güvenlik ekibi süreci takip etmeye ve gelişmeleri zamanında güncellemeye devam edecek.
View Original
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
İran borsası 1 milyar dolar varlık anormal imha olayı derlemesi
Yazar: Lisa & 23pds
Editör: Sherry
Başlık: Yaklaşık 100 milyon dolar yok edildi: İran borsa Nobitex'in çalınma olayı incelemesi
Arka plan
18 Haziran 2025'te zincir üstü dedektif ZachXBT, İran'ın en büyük kripto ticaret platformu olan Nobitex'in saldırıya uğradığından şüphelenildiğini ve büyük miktarda varlığın birden fazla halka açık zincir arasında anormal bir şekilde aktarılmasını içerdiğini açıkladı.
()
SlowMist( Daha fazla onaylama, olayda etkilenen varlıkların TRON, EVM ve BTC ağlarını kapsadığını gösteriyor, tahmini kaybın yaklaşık 81,7 milyon dolar olduğu değerlendirilmektedir.
! [])https://img-cdn.gateio.im/webp-social/moments-1339b49fc2c794c2a593134267dcdb51.webp(
)(
Nobitex ayrıca bazı altyapı ve sıcak cüzdanların yetkisiz erişime maruz kaldığını doğrulayan bir açıklama yaptı, ancak kullanıcı fonlarının güvende olduğunu vurguladı.
![])https://img-cdn.gateio.im/social/moments-d9a11bfaa7f33c82010d61b54d4a735e(
)(
Saldırganların sadece para transfer etmekle kalmayıp, aynı zamanda çok sayıda varlığı aktif olarak özel hazırlanmış bir imha adresine aktardığını ve "yanmış" varlıkların yaklaşık 100 milyon dolar değerinde olduğunu belirtmekte fayda var.
![])https://img-cdn.gateio.im/webp-social/moments-b3986d41b3457cf3b763dce797006ac1.webp(
)(
Zaman Çizgisi Düzenleme
18 Haziran
! [])https://img-cdn.gateio.im/webp-social/moments-57e775bc8218c3e9e044b647e8b314a1.webp(
)(
19 Haziran
![])https://img-cdn.gateio.im/webp-social/moments-c131d3eb9f871935296e80c6952a8b00.webp(
)(
Kaynak Kodu Bilgisi
Saldırganın yayınladığı kaynak kodu bilgilerine göre, klasör bilgileri aşağıdaki gibidir:
![])https://img-cdn.gateio.im/webp-social/moments-8779c04a8cb0dabdf261eca82e0bb553.webp(
Özellikle aşağıdaki konuları kapsar:
![])https://img-cdn.gateio.im/social/moments-f863fe6ffd680ca3c4ee8a84a7eb9724(
Nobitex'in çekirdek sistemi esas olarak Python ile yazılmıştır ve dağıtım ve yönetim için K8s kullanılmaktadır. Bilinen bilgilerle, saldırganların muhtemelen işletim sınırlarını aşarak iç ağa girdiğini tahmin ediyoruz; burada analizi genişletmeyeceğiz.
MistTrack Analizi
Saldırgan, varlıkları almak için görünüşte meşru ancak aslında kontrol edilemeyen birden fazla "imha adresi" kullanır, bu adreslerin çoğu zincir üstü adres formatı doğrulama kurallarına uygundur ve varlıkları başarıyla alabilir, ancak fonlar bir kez transfer edildiğinde, kalıcı yıkıma eşdeğerdir ve aynı zamanda bu adreslerde agresif olan duygusal ve kışkırtıcı kelimeler de bulunur. Saldırgan tarafından kullanılan "yok etme adreslerinden" bazıları şunlardır:
Nobitex'in kayıplarının eksik istatistiklerini aşağıdaki gibi analiz etmek için zincir üstü bir kara para aklama ve izleme aracı olan MistTrack'i kullandık:
![])https://img-cdn.gateio.im/webp-social/moments-c317bfd740c47bfe588f2d7a2fa1b1a3.webp(
MistTrack analizine göre, saldırganlar TRON üzerinde 110,641 USDT işlemi ve 2,889 TRX işlemi gerçekleştirdi:
![])https://img-cdn.gateio.im/webp-social/moments-c87d899211671a67e483c50e7cc3e018.webp(
Saldırganlar tarafından çalınan EVM zincirleri esas olarak BSC, Ethereum, Arbitrum, Polygon ve Avalanche'ı içerir ve her ekosistemin ana para birimlerine ek olarak UNI, LINK, SHIB ve diğer tokenleri de içerir.
![])https://img-cdn.gateio.im/webp-social/moments-0740e6f7bc4fcbfd5bd46946e7ea1126.webp(
Bitcoin'da, saldırganlar toplamda 18.4716 BTC çaldı, yaklaşık 2,086 işlem.
![])https://img-cdn.gateio.im/webp-social/moments-b3facbb7aaa47e0912f3c595db7782b2.webp(
Dogechain üzerinde, saldırganlar toplamda 39,409,954.5439 DOGE'yi, yaklaşık 34,081 işlemle çaldı.
! [])https://img-cdn.gateio.im/webp-social/moments-5fca2e6c61176f45528b75f65d273a78.webp(
Solana üzerinde, saldırganlar SOL, WIF ve RENDER çaldı:
! [])https://img-cdn.gateio.im/webp-social/moments-265a0bee1fca4b3f98291fc422ddb1a6.webp(
TON, Harmony, Ripple üzerinde, saldırganlar sırasıyla 3,374.4 TON, 35,098,851.74 ONE ve 373,852.87 XRP çaldı:
! [])https://img-cdn.gateio.im/webp-social/moments-3c7659ab01b16e5822b07a295c799ca8.webp(
MistTrack, ilgili adresleri kötü niyetli adresler listesine ekledi ve ilgili blok zinciri üzerindeki gelişmeleri izlemeye devam edecek.
Sonuç
Nobitex olayı bir kez daha sektöre hatırlatıyor: güvenlik bir bütün olarak ele alınmalıdır, platformların güvenlik korumasını daha da güçlendirmesi ve daha gelişmiş savunma mekanizmaları kullanması gerekiyor, özellikle günlük operasyonlar için sıcak cüzdan kullanan platformlar için, SlowMist) öneriyor:
Olayın ardından soruşturmalar devam ediyor, Slow Mist güvenlik ekibi süreci takip etmeye ve gelişmeleri zamanında güncellemeye devam edecek.