Pro-israelsk hackergruppe retter sig mod Irans Nobitex-børs i $88,4 mio. kryptobrud

Nobitex, en iransk kryptobørs, blev ramt af en udnyttelse på flere millioner dollars, hvor en pro-israelsk hackergruppe tog ansvaret for hændelsen.

Hændelsen blev markeret af onchain-efterforsker ZachXBT, som identificerede mistænkelige udstrømninger fra flere tegnebøger knyttet til Nobitex.

I et Telegram-indlæg den 19. juni afslørede onchain-efterforsker ZachXBT, at angribere brugte forfængelighedsadresser i udnyttelsen, herunder en på Tron-netværket med en politisk ladet besked rettet mod Nobitex.

På pressetidspunktet var mindst fire angriberkontrollerede forfængelighedsadresser blevet identificeret af blockchain-sikkerhedsfirmaet SlowMist og ZachXBT, som tilsammen overførte over 88,4 millioner dollars i digitale aktiver fra Nobitex.

Adresserne omfatter den Tron-baserede "TKFuckiRGCTerroristsNoBiTEXy2r7mNX", som drænede cirka $49 millioner, og Ethereum-adressen "0xffFFfFFffFFffFfFffFFfFfFfFFFFfFfFFFFDead", der bruges til udbetalinger på tværs af EVM-kompatible kæder.

To yderligere forfængelighedsadresser, "1FuckiRGCTerroristsNoBiTEXXXaAovLX" og en Dogecoin-tegnebog "DFuckiRGCTerroristsNoBiTEXXXWLW65t," blev senere knyttet til udnyttelsen.

Dogecoin-adressen alene modtog over 39,4 millioner DOGE, vurderet til omkring 6,73 millioner dollars i nuværende priser.

Forfængelighedsadresser, som gør det muligt at indlejre brugerdefinerede strenge i tegnebogsidentifikatorer, ser ud til at være blevet brugt til at udsende eksplicitte politiske referencer rettet mod den iranske regering.

Nobitex har også bekræftet, at en del af deres hot wallets havde oplevet "uautoriseret adgang", som efterfølgende blev suspenderet ved opdagelse.

Platformen har forsikret brugerne om, at de kompromitterede tegnebøger var adskilt fra dens køleopbevaringsreserver, som forbliver sikre.

Den lovede også fuldt ud at kompensere de berørte brugere ved hjælp af sin forsikringsfond og interne reserver.

Hackere tager ansvar

En gruppe, der kalder sig "Gonjeshke Darande", har påtaget sig ansvaret for bruddet.

I en erklæring offentliggjort på X beskyldte gruppen Nobitex for at være et værktøj, der bruges af det iranske regime til at finansiere terrorisme og omgå internationale sanktioner.

Ifølge hackerne spillede Nobitex en central rolle i den iranske regerings finansielle infrastruktur og hævdede, at ansættelse på børsen blev anerkendt som en form for militærtjeneste af regimet.

Gruppen har også truet med at offentliggøre børsens kildekode og interne data og advaret om, at eventuelle resterende midler på platformen også var i fare.

De opfordrede brugerne til at handle hurtigt og "handle, før det er for sent."

Kryptobørser er fortsat i fare

Det seneste brud føjer sig til en bølge af kryptosikkerhedshændelser i 2025, hvor over 2,1 milliarder dollars i digitale aktiver er gået tabt indtil videre, ifølge blockchain-sikkerhedsfirmaet CertiK.

Angreb på centraliserede børser tegner sig for størstedelen af disse tab, anført af Bybit-hacket på 1,4 milliarder dollars, der angiveligt blev orkestreret af nordkoreanske hackere.

Angriberne formåede at udnytte en af børsens kolde tegnebøger med flere signaturer.

På samme måde blev Coinbase målrettet i et koordineret angreb , hvor offshore-kundesupportagenter blev bestukket til at udtrække data fra mere end 69.000 brugere.

De stjålne oplysninger blev angiveligt brugt i social engineering-svindel til at bedrage kunder, med tab anslået til op til 400 millioner dollars.

Selvom ingen krypto blev stjålet direkte fra Coinbases systemer, afslørede angrebet kritiske svagheder i dets outsourcede operationer.