Sắp xếp sự kiện tiêu hủy tài sản 100 triệu USD của sàn giao dịch Iran

Tác giả: Lisa & 23pds

Biên tập: Sherry

Tiêu đề gốc: Gần 1 triệu đô la bị tiêu hủy: Tổng hợp sự cố bị đánh cắp của sàn giao dịch Iran Nobitex

Bối cảnh

Vào ngày 18 tháng 6 năm 2025, thám tử trên chuỗi ZachXBT tiết lộ rằng Nobitex, nền tảng giao dịch tiền điện tử lớn nhất của Iran, bị nghi ngờ bị tấn công, liên quan đến việc chuyển một lượng lớn tài sản bất thường qua nhiều chuỗi công khai.

!

()

SlowMist( 进一步确认，事件中受影响资产涵盖 TRON、EVM 及 BTC 网络，初步估算损失约为 8,170 万美元。

![])https://img-cdn.gateio.im/webp-social/moments-1339b49fc2c794c2a593134267dcdb51.webp(

)(

Nobitex cũng đã phát hành thông báo xác nhận rằng một số cơ sở hạ tầng và ví nóng đã thực sự gặp phải truy cập trái phép, nhưng nhấn mạnh rằng an toàn quỹ của người dùng không có vấn đề gì.

![])https://img-cdn.gateio.im/social/moments-d9a11bfaa7f33c82010d61b54d4a735e(

)(

Cần lưu ý rằng, kẻ tấn công không chỉ chuyển tiền mà còn chủ động chuyển một lượng lớn tài sản vào địa chỉ tiêu hủy đặc biệt, với giá trị tài sản bị "đốt cháy" gần 100 triệu đô la.

![])https://img-cdn.gateio.im/webp-social/moments-b3986d41b3457cf3b763dce797006ac1.webp(

)(

Lập thời gian

6 tháng 18

• ZachXBT tiết lộ rằng sàn giao dịch tiền điện tử Iran Nobitex có khả năng đã bị tấn công bởi hacker, với nhiều giao dịch rút tiền khả nghi xảy ra trên chuỗi TRON. SlowMist) đã xác nhận thêm rằng cuộc tấn công liên quan đến nhiều chuỗi, ước tính thiệt hại ban đầu khoảng 81.7 triệu USD.
• Nobitex cho biết, đội ngũ kỹ thuật đã phát hiện một số cơ sở hạ tầng và ví nóng bị truy cập trái phép, đã ngay lập tức cắt đứt giao diện bên ngoài và khởi động điều tra. Phần lớn tài sản được lưu trữ trong ví lạnh không bị ảnh hưởng, cuộc xâm nhập này chỉ giới hạn ở một phần ví nóng được sử dụng cho tính thanh khoản hàng ngày.
• Nhóm tin tặc Predatory Sparrow (Gonjeshke Darande) nhận trách nhiệm về vụ tấn công và thông báo rằng mã nguồn và dữ liệu nội bộ của Nobitex sẽ được công bố trong vòng 24 giờ.

!

()

6 tháng 19

• Nobitex đã phát hành thông cáo số 4, cho biết nền tảng đã hoàn toàn chặn các đường truy cập bên ngoài vào máy chủ, việc chuyển tiền từ ví nóng là "di chuyển chủ động của đội ngũ an ninh để bảo vệ tài sản". Đồng thời, chính thức xác nhận rằng tài sản bị đánh cắp đã được chuyển đến một số ví có địa chỉ không chuẩn được tạo bằng các ký tự ngẫu nhiên, những ví này được sử dụng để tiêu hủy tài sản của người dùng, tổng cộng khoảng 100 triệu đô la.
• Tổ chức hacker Predatory Sparrow (Gonjeshke Darande) tuyên bố đã thiêu hủy tài sản tiền điện tử trị giá khoảng 90 triệu USD và gọi đó là "công cụ trốn tránh lệnh trừng phạt".
• Tổ chức hacker Predatory Sparrow (Gonjeshke Darande) công khai mã nguồn Nobitex.

()

Thông tin mã nguồn

Theo thông tin mã nguồn được kẻ tấn công công bố, thông tin thư mục như sau:

Cụ thể, liên quan đến các nội dung sau:

!

Hệ thống cốt lõi của Nobitex được viết chủ yếu bằng Python và được triển khai và quản lý bằng K8s. Dựa trên thông tin đã biết, chúng tôi đoán rằng kẻ tấn công có thể đã vượt qua ranh giới O&M và xâm nhập vào mạng nội bộ.

Phân tích MistTrack

Kẻ tấn công sử dụng nhiều "địa chỉ tiêu hủy" tưởng chừng hợp pháp, nhưng thực tế không thể kiểm soát được để nhận tài sản, hầu hết các địa chỉ này tuân thủ các quy tắc xác minh định dạng địa chỉ on-chain và có thể nhận tài sản thành công, nhưng một khi tiền được chuyển thì tương đương với việc hủy vĩnh viễn, đồng thời, các địa chỉ này cũng có những từ ngữ cảm xúc và khiêu khích, hung hăng. Một số "địa chỉ tiêu hủy" được kẻ tấn công sử dụng như sau:

• TKFuckiRGCTerroristsNoBiTEXy2r7mNX
• 0xffFFfFFffFFffFfFffFFfFfFfFFFFfFfFFFFDead
• 1FuckiRGCTerroristsNoBiTEXXXaAovLX
• DFuckiRGCTerroristsNoBiTEXXXWLW65t
• FuckiRGCTerroristsNoBiTEXXXXXXXXXXXXXXXXXXX
• UQABFuckIRGCTerroristsNOBITEX1111111111111111_jT
• one19fuckterr0rfuckterr0rfuckterr0rxn7kj7u
• rFuckiRGCTerroristsNoBiTEXypBrmUM

Chúng tôi sử dụng công cụ theo dõi và chống rửa tiền trên chuỗi MistTrack để phân tích, tổn thất của Nobitex không được thống kê đầy đủ như sau:

Theo phân tích của MistTrack, kẻ tấn công đã thực hiện 110,641 giao dịch USDT và 2,889 giao dịch TRX trên TRON:

!

Các chuỗi EVM mà kẻ tấn công đã đánh cắp chủ yếu bao gồm BSC, Ethereum, Arbitrum, Polygon và Avalanche, ngoài các đồng coin chính trong mỗi hệ sinh thái, còn bao gồm nhiều token khác như UNI, LINK, SHIB.

!

Trên Bitcoin, kẻ tấn công đã đánh cắp tổng cộng 18.4716 BTC, khoảng 2,086 giao dịch.

Trên Dogechain, kẻ tấn công đã đánh cắp tổng cộng 39,409,954.5439 DOGE, khoảng 34,081 giao dịch.

!

Trên Solana, kẻ tấn công đã đánh cắp SOL, WIF và RENDER:

Tại TON, Harmony, Ripple, kẻ tấn công đã lần lượt đánh cắp 3,374.4 TON, 35,098,851.74 ONE và 373,852.87 XRP:

MistTrack đã thêm các địa chỉ liên quan vào danh sách địa chỉ độc hại và sẽ tiếp tục theo dõi các diễn biến trên chuỗi liên quan.

Kết luận

Sự cố Nobitex một lần nữa nhắc nhở ngành công nghiệp rằng bảo mật là một tổng thể và các nền tảng cần tăng cường hơn nữa việc bảo vệ bảo mật và áp dụng các cơ chế phòng thủ tiên tiến hơn, đặc biệt là đối với các nền tảng sử dụng ví nóng cho các hoạt động hàng ngày (SlowMist) Khuyến nghị:

• Cô lập nghiêm ngặt các quyền và đường dẫn truy cập ví nóng và lạnh, đồng thời thường xuyên kiểm tra quyền gọi ví nóng;
• Sử dụng hệ thống giám sát thời gian thực trên chuỗi (như MistEye) để kịp thời nhận được thông tin tình báo về mối đe dọa và giám sát an ninh động.
• Hợp tác với các hệ thống chống rửa tiền trên chuỗi (chẳng hạn như MistTrack) để phát hiện dòng tiền bất thường một cách kịp thời;
• Tăng cường cơ chế phản ứng khẩn cấp, đảm bảo có thể ứng phó hiệu quả trong khoảng thời gian vàng sau khi xảy ra tấn công.

Sự việc vẫn đang trong quá trình điều tra, đội ngũ an ninh Slow Fog sẽ tiếp tục theo dõi và cập nhật tiến triển kịp thời.