Как иранская биржа Nobitex лишилась более $80 млн. Хронология взлома

Взлом крупнейшей криптобиржи в Иране не похож на типичную атаку с целью наживы. Все факторы указывают на то, что похищение активов произошло по политическим мотивам. GetBlock AML Research разбирает детали взлома Nobitex.

Первая среди санкционных

За последние несколько лет Nobitex стала ключевым игроком на рынке Ирана. Биржа стала крупнейшей торговой платформой в стране в условиях международных санкций. Помимо обычной розничной активности, Nobitex обрабатывала транзакции для лиц и организаций, которые находятся под санкциями. Ончейн-анализ подтверждает связь Nobitex с создателями программ-вымогателей, хуситами, ХАМАС, российскими криптобиржами Garantex (ныне Grinex) и Bitpapa.

Граф связей Nobitex с санкционными лицами и организациями. Данные: Chainalysis

Политический мотив

Взлом Nobitex произошел после того, как Израиль начал военную операцию против Ирана. Ранее Национальное бюро по борьбе с финансированием терроризма (NBCTF) Израиля называло Nobitex крупнейшим финансовым хабом, через который финансирует многие иранские программы и структуры. Израильские специалисты обнаружили, что Nobitex и другие криптовалютные торговые платформы контролировались напрямую КСИР (Корпусом стражей исламской революции) и лично Верховным лидером Ирана Али Хаменеи.

Ответственность за взлом Nobitex взяла произраильская хакерская группировка Predatory Sparrow, которая ранее уже атаковала иранский банк Sepah.

Хронология атаки

• Первым о взломе Nobitex сообщил известный крипто-детектив ZachXBT в своем Telegram-канале. Он обнаружил крупные подозрительные транзакции в сети Tron;
• Позже стало известно, что Nobitex лишилась активов на $84,6 млн;
• Команда Nobitex признала факт взлома и приостановила работу биржи для проведения расследования;
• Группировка Predatory Sparrow взяла ответственность за атаку и пообещала публично раскрыть исходный код Nobitex. Оказалось, что биржа построена преимущественно на Python и управляется помощью Kubernetes (K8s).

Исходный код Nobitex, опубликованный в X-аккаунте Predatory Sparrow

Сжигание активов

Большая часть похищенных средств была переведена на синтаксически неверные форматы адресов (например, TKFuckiRGCTerroristsNoBiTEXy2r7mNX). Как утверждает группировка Predatory Sparrow, эти

адреса специально созданы для сжигания, поскольку отправить средства с этих адресов не представляется возможным.

Список похищенных у Nobitex активов