Торговую платформу взломала произраильская хакерская группировка Predatory Sparrow

Как иранская биржа Nobitex лишилась более $80 млн. Хронология взлома

20.06.2025

808

4 мин

Взлом крупнейшей криптобиржи в Иране не похож на типичную атаку с целью наживы. Все факторы указывают на то, что похищение активов произошло по политическим мотивам. GetBlock AML Research разбирает детали взлома Nobitex.

Первая среди санкционных

За последние несколько лет Nobitex стала ключевым игроком на рынке Ирана. Биржа стала крупнейшей торговой платформой в стране в условиях международных санкций. Помимо обычной розничной активности, Nobitex обрабатывала транзакции для лиц и организаций, которые находятся под санкциями. Ончейн-анализ подтверждает связь Nobitex с создателями программ-вымогателей, хуситами, ХАМАС, российскими криптобиржами Garantex (ныне Grinex) и Bitpapa.

Граф связей Nobitex с санкционными лицами и организациями. Данные: Chainalysis

Политический мотив

Взлом Nobitex произошел после того, как Израиль начал военную операцию против Ирана. Ранее Национальное бюро по борьбе с финансированием терроризма (NBCTF) Израиля называло Nobitex крупнейшим финансовым хабом, через который финансирует многие иранские программы и структуры. Израильские специалисты обнаружили, что Nobitex и другие криптовалютные торговые платформы контролировались напрямую КСИР (Корпусом стражей исламской революции) и лично Верховным лидером Ирана Али Хаменеи.

Ответственность за взлом Nobitex взяла произраильская хакерская группировка Predatory Sparrow, которая ранее уже атаковала иранский банк Sepah.

Хронология атаки

  • Первым о взломе Nobitex сообщил известный крипто-детектив ZachXBT в своем Telegram-канале. Он обнаружил крупные подозрительные транзакции в сети Tron;
  • Позже стало известно, что Nobitex лишилась активов на $84,6 млн;
  • Команда Nobitex признала факт взлома и приостановила работу биржи для проведения расследования;
  • Группировка Predatory Sparrow взяла ответственность за атаку и пообещала публично раскрыть исходный код Nobitex. Оказалось, что биржа построена преимущественно на Python и управляется помощью Kubernetes (K8s).

Исходный код Nobitex, опубликованный в X-аккаунте Predatory Sparrow

Сжигание активов

Большая часть похищенных средств была переведена на синтаксически неверные форматы адресов (например, TKFuckiRGCTerroristsNoBiTEXy2r7mNX). Как утверждает группировка Predatory Sparrow, эти

адреса специально созданы для сжигания, поскольку отправить средства с этих адресов не представляется возможным.

Список похищенных у Nobitex активов

Адреса для хранения похищенных у Nobitex активов

TKFuckiRGCTerroristsNoBiTEXy2r7mNX

0xffFFfFFffFFffFfFffFFfFfFfFFFFfFfFFFFDead

1FuckiRGCTerroristsNoBiTEXXXaAovLX

DFuckiRGCTerroristsNoBiTEXXXWLW65t

FuckiRGCTerroristsNoBiTEXXXXXXXXXXXXXXXXXXX

UQABFuckIRGCTerroristsNOBITEX1111111111111111_jT

one19fuckterr0rfuckterr0rfuckterr0rxn7kj7u

rFuckiRGCTerroristsNoBiTEXypBrmUM

Подписывайтесь на Getblock Magazine и будьте всегда в курсе последних новостей из мира криптовалют и цифровой экономики