Tác giả: Lisa & 23pds
Biên tập: Sherry
Bối cảnh
Ngày 18 tháng 6 năm 2025, thám tử chuỗi ZachXBT tiết lộ, sàn giao dịch crypto lớn nhất của Iran, Nobitex, bị nghi ngờ bị hacker tấn công, liên quan đến việc chuyển tài sản bất thường với số lượng lớn trên nhiều chuỗi công khai.
(https://t.me/investigations)
SlowMist xác nhận thêm, tài sản bị ảnh hưởng trong sự kiện bao gồm TRON, EVM và mạng BTC, ước tính ban đầu thiệt hại khoảng 81,7 triệu đô la.
(https://x.com/slowmist_team/status/1935246606095593578)
Nobitex cũng đã phát hành thông báo xác nhận rằng một số cơ sở hạ tầng và ví nóng đã bị truy cập trái phép, nhưng khẳng định tài sản của người dùng vẫn an toàn.
(https://x.com/nobitexmarket/status/1935244739575480472)
Đáng chú ý là, kẻ tấn công không chỉ chuyển tiền mà còn chủ động chuyển một lượng lớn tài sản vào địa chỉ đốt được thiết kế đặc biệt, với giá trị tài sản bị "đốt" gần 100 triệu đô la.
(https://x.com/GonjeshkeDarand/status/1935412212320891089)
Dòng thời gian
Ngày 18 tháng 6
ZachXBT tiết lộ sàn giao dịch crypto Iran Nobitex bị nghi ngờ bị hackertấn công, với các giao dịch rút tiền đáng ngờ trên chuỗi TRON. SlowMist xác nhận thêm rằng cuộc tấn công liên quan đến nhiều chuỗi, ước tính ban đầu thiệt hại khoảng 81,7 triệu đô la.
Nobitex cho biết, đội ngũ kỹ thuật đã phát hiện một số cơ sở hạ tầng và ví nóng bị truy cập trái phép, đã ngay lập tức ngắt kết nối giao diện bên ngoài và bắt đầu điều tra. Hầu hết tài sản được lưu trữ trong ví lạnh không bị ảnh hưởng, cuộc xâm nhập này chỉ giới hạn ở một phần ví nóng được sử dụng cho thanh khoản hàng ngày.
Nhóm hacker Predatory Sparrow (Gonjeshke Darande) tuyên bố chịu trách nhiệm về vụ tấn công này và tuyên bố sẽ công bố mã nguồn và dữ liệu nội bộ của Nobitex trong vòng 24 giờ.
(https://x.com/GonjeshkeDarand/status/1935231018937536681)
Ngày 19 tháng 6
Nobitex phát hành tuyên bố số 4, cho biết nền tảng đã hoàn toàn chặn các đường truy cập bên ngoài máy chủ, việc chuyển ví nóng là "việc di chuyển chủ động của đội an ninh để bảo vệ quỹ". Đồng thời, chính thức xác nhận các tài sản bị đánh cắp đã được chuyển đến các ví có địa chỉ không tiêu chuẩn được tạo từ các ký tự ngẫu nhiên, những ví này được sử dụng để đốt tài sản người dùng, tổng cộng khoảng 100 triệu đô la.
Nhóm hacker Predatory Sparrow (Gonjeshke Darande) tuyên bố đã đốt khoảng 90 triệu đô la tài sản crypto và gọi đó là "công cụ né tránh trừng phạt".
Nhóm hacker Predatory Sparrow (Gonjeshke Darande) công khai mã nguồn của Nobitex.
(https://x.com/GonjeshkeDarand/status/1935593397156270534)
(Phần còn lại của bản dịch tương tự, tuân theo các quy tắc dịch đã được đặt ra)
MistTrack đã thêm các địa chỉ liên quan vào thư viện địa chỉ độc hại và sẽ tiếp tục theo dõi các diễn biến trên chuỗi.
Kết luận
Sự kiện Nobitex một lần nữa nhắc nhở ngành: An ninh là một tổng thể, các nền tảng cần tăng cường bảo vệ an ninh hơn nữa, áp dụng các cơ chế phòng thủ tiên tiến hơn, đặc biệt là đối với các nền tảng sử dụng ví nóng để vận hành hàng ngày, SlowMist khuyến nghị:
Nghiêm ngặt tách biệt quyền và đường dẫn truy cập giữa ví lạnh và ví nóng, kiểm toán định kỳ quyền gọi ví nóng;
Sử dụng hệ thống giám sát thời gian thực trên chuỗi (như MistEye), kịp thời nhận được tình báo mối đe dọa toàn diện và giám sát an ninh động;
Phối hợp với hệ thống chống rửa tiền trên chuỗi (như MistTrack), phát hiện kịp thời các luồng tài chính bất thường;
Tăng cường cơ chế ứng phó khẩn cấp, đảm bảo có thể đối phó hiệu quả trong cửa sổ vàng sau khi xảy ra cuộc tấn công.
Các diễn biến tiếp theo của sự kiện vẫn đang được điều tra, nhóm an ninh SlowMist sẽ tiếp tục theo dõi và cập nhật tiến trình kịp thời.
