Gần 100 triệu đô la đốt: Đánh giá vụ trộm sàn giao dịch Nobitex của Iran

Vào ngày 18 tháng 6 năm 2025, thám tử Chuỗi ZachXBT đã tiết lộ rằng nền tảng giao dịch crypto lớn nhất của Iran , Nobitex, bị nghi ngờ đã hacker , liên quan đến việc chuyển giao bất thường một lượng lớn tài sản trên nhiều chuỗi công khai .

Tác giả: Lisa & 23pds

Biên tập: Sherry

bối cảnh

Vào ngày 18 tháng 6 năm 2025, thám tử Chuỗi ZachXBT đã tiết lộ rằng nền tảng giao dịch crypto lớn nhất của Iran , Nobitex, bị nghi ngờ đã hacker , liên quan đến việc chuyển giao bất thường một lượng lớn tài sản trên nhiều chuỗi công khai .

SlowMist xác nhận thêm rằng các tài sản bị ảnh hưởng trong sự cố bao gồm mạng lưới TRON, EVM và BTC, và ước tính thiệt hại ban đầu vào khoảng 81,7 triệu đô la Mỹ.

Nobitex cũng đã đưa ra thông báo xác nhận rằng một số cơ sở hạ tầng và ví nóng thực sự đã bị truy cập trái phép, nhưng nhấn mạnh rằng tiền của người dùng vẫn an toàn.

Điều đáng chú ý là kẻ tấn công không chỉ chuyển tiền mà còn chủ động chuyển lượng lớn tài sản đến một địa chỉ đốt được thiết kế đặc biệt. Giá trị tài sản bị "đốt" lên tới gần 100 triệu đô la Mỹ.

Dòng thời gian

Ngày 18 tháng 6

ZachXBT tiết lộ rằng sàn giao dịch crypto Iran Nobitex bị nghi ngờ đã bị hacker và lượng lớn các giao dịch rút tiền đáng ngờ đã xảy ra trên Chuỗi TRON . SlowMist xác nhận thêm rằng cuộc tấn công liên quan đến nhiều Chuỗi và ước tính ban đầu thiệt hại khoảng 81,7 triệu đô la Mỹ.

Nobitex cho biết đội ngũ kỹ thuật đã phát hiện ra truy cập trái phép vào một số cơ sở hạ tầng và ví nóng, và ngay lập tức cắt các giao diện bên ngoài và tiến hành điều tra. Phần lớn tài sản được lưu trữ trong ví lạnh không bị ảnh hưởng và lần xâm nhập chỉ giới hạn ở một số ví nóng được sử dụng để thanh khoản hàng ngày.

Nhóm hacker Predatory Sparrow (Gonjeshke Darande) đã nhận trách nhiệm về lần tấn công và tuyên bố sẽ công bố mã nguồn Nobitex và dữ liệu nội bộ trong vòng 24 giờ.

Ngày 19 tháng 6

Nobitex đã đưa ra tuyên bố thứ tư, nói rằng nền tảng này đã chặn hoàn toàn quyền truy cập bên ngoài vào máy chủ và việc chuyển ví nóng là "hoạt động di chuyển chủ động do đội ngũ bảo mật thực hiện để bảo vệ tiền". Đồng thời, chính thức xác nhận rằng tài sản bị đánh cắp đã được chuyển đến một số ví có địa chỉ không chuẩn bao gồm các ký tự tùy ý, được sử dụng để đốt tài sản của người dùng, tổng giá trị khoảng 100 triệu đô la.

Nhóm hacker Predatory Sparrow (Gonjeshke Darande) tuyên bố đã đốt khoảng 90 triệu đô la tài sản crypto , gọi đây là "công cụ lách lệnh trừng phạt".

Nhóm hacker Predatory Sparrow (Gonjeshke Darande) đã phát hành mã nguồn Nobitex.

Thông tin mã nguồn

Theo thông tin mã nguồn do kẻ tấn công công bố, thông tin thư mục như sau:

Cụ thể bao gồm các nội dung sau:

Hệ thống cốt lõi của Nobitex chủ yếu được viết bằng Python và được triển khai và quản lý bằng K8s. Dựa trên thông tin đã biết, chúng tôi suy đoán rằng kẻ tấn công có thể đã vượt qua ranh giới hoạt động và bảo trì và xâm nhập vào mạng nội bộ, điều này sẽ không được phân tích ở đây.

Phân tích MistTrack

Kẻ tấn công đã sử dụng nhiều "địa chỉ đốt" có vẻ hợp pháp nhưng không thể kiểm soát được để nhận tài sản. Hầu hết các địa chỉ này đều tuân thủ các quy tắc xác minh định dạng địa chỉ trên Chuỗi và có thể nhận tài sản thành công, nhưng sau khi tiền được chuyển vào, chúng sẽ bị đốt vĩnh viễn. Đồng thời, các địa chỉ này cũng chứa các từ ngữ tâm lý và khiêu khích, mang tính xúc phạm. Một số "địa chỉ đốt" mà kẻ tấn công sử dụng như sau:
TKFuckiRGCTkhủng bốNoBiTEXy2r7mNX

• 0xffFFfFFffFFffFfFffFFfFfFfFFFFfFfFFFFChết

• 1FuckiRGCTerroristsNoBiTEXXaAovLX

• DFuckiRGCTkhủng bốNoBiTEXXWLW65t

• FuckiRGCTkhủng bốNoBiTEXXXXXXXXXXXXXXXXXXX

• UQABFuckIRGCTkhủng bốNOBITEX11111111111111111_jT

• one19fuckterr0rfuckterr0rfuckterr0rxn7kj7u

• rFuckiRGCTkhủng bốNoBiTEXypBrmUM

Chúng tôi đã sử dụng công cụ theo dõi và chống rửa tiền Chuỗi MistTrack để phân tích và số liệu thống kê chưa đầy đủ về khoản lỗ của Nobitex như sau:

Theo phân tích của MistTrack, kẻ tấn công đã hoàn thành 110.641 giao dịch USDT và 2.889 giao dịch TRX trên TRON :

Các Chuỗi EVM bị kẻ tấn công đánh cắp chủ yếu bao gồm BSC, Ethereum, Arbitrum, Polygon và Avalanche. Ngoài các loại tiền tệ chính thống của mỗi hệ sinh thái, chúng còn bao gồm UNI, LINK, SHIB và token khác.

Trên Bitcoin, kẻ tấn công đã đánh cắp tổng cộng 18,4716 BTC, tương đương khoảng 2.086 giao dịch.

Trên Dogechain, kẻ tấn công đã đánh cắp tổng cộng 39.409.954,5439 DOGE, tương đương khoảng 34.081 giao dịch.

Trên Solana , kẻ tấn công sẽ đánh cắp SOL, WIF và RENDER:

Trên TON, Harmony và Ripple, kẻ tấn công đã đánh cắp lần lượt 3.374,4 TON, 35.098.851,74 ONE và 373.852,87 XRP:

MistTrack đã thêm các địa chỉ liên quan vào cơ sở dữ liệu địa chỉ độc hại và sẽ tiếp tục chú ý đến các xu hướng Chuỗi liên quan.

Phần kết luận

Sự cố Nobitex một lần nữa nhắc nhở ngành công nghiệp rằng bảo mật là một tổng thể. Các nền tảng cần tăng cường hơn nữa khả năng bảo vệ an ninh và áp dụng các cơ chế phòng thủ tiên tiến hơn, đặc biệt là đối với các nền tảng sử dụng ví nóng cho các hoạt động hàng ngày. SlowMist khuyến nghị:

Cô lập chặt chẽ các quyền và đường dẫn truy cập của ví lạnh và ví nóng, định kì kiểm toán các quyền gọi ví nóng; sử dụng các hệ thống giám sát thời gian thực Chuỗi(như MistEye) để có được thông tin tình báo về mối đe dọa toàn diện và giám sát bảo mật động một cách kịp thời; hợp tác với các hệ thống chống rửa tiền Chuỗi (như MistTrack) để phát hiện kịp thời các dòng tiền bất thường;

Tăng cường cơ chế ứng phó khẩn cấp để đảm bảo phản ứng hiệu quả trong khoảng thời gian vàng sau khi xảy ra tấn công.

Sự cố vẫn đang được điều tra và đội ngũ an ninh SlowMist sẽ tiếp tục theo dõi và cập nhật tiến độ kịp thời.

Tuyên bố miễn trừ trách nhiệm: Là một nền tảng thông tin blockchain, các bài viết được đăng trên trang web này chỉ đại diện cho quan điểm ​​cá nhân của tác giả và khách mời, và không liên quan gì đến vị trí của Web3Caff. Thông tin trong bài viết chỉ mang tham khảo và không cấu thành bất kỳ lời khuyên hoặc đề nghị đầu tư nào. Vui lòng tuân thủ luật pháp và quy định có liên quan của quốc gia hoặc khu vực của bạn.