Pro-israelsk hackergruppe retter seg mot Irans Nobitex-børs i kryptobrudd på 88,4 millioner dollar

Nobitex, en iransk kryptobørs, ble rammet av en utnyttelse på flere millioner dollar, med en pro-israelsk hackergruppe som tok ansvar for hendelsen.

Hendelsen ble flagget av onchain-etterforsker ZachXBT, som identifiserte mistenkelige utstrømninger fra flere lommebøker knyttet til Nobitex.

I et Telegram-innlegg 19. juni avslørte onchain-etterforsker ZachXBT at angripere brukte forfengelighetsadresser i utnyttelsen, inkludert en på Tron-nettverket med en politisk ladet melding rettet mot Nobitex.

På pressetidspunktet hadde minst fire angriperkontrollerte forfengelighetsadresser blitt identifisert av blokkjedesikkerhetsfirmaet SlowMist og ZachXBT, som til sammen skaffet over 88,4 millioner dollar i digitale eiendeler fra Nobitex.

Adressene inkluderer den Tron-baserte «TKFuckiRGCTerroristsNoBiTEXy2r7mNX», som tappet omtrent 49 millioner dollar, og Ethereum-adressen «0xffFFfFFffFFffFfFffFFfFfFfFFFFfFfFFFFDead», som brukes til uttak på tvers av EVM-kompatible kjeder.

To ekstra forfengelighetsadresser, «1FuckiRGCTerroristsNoBiTEXXXaAovLX» og en Dogecoin-lommebok «DFuckiRGCTerroristsNoBiTEXXXWLW65t», ble senere knyttet til utnyttelsen.

Dogecoin-adressen alene mottok over 39.4 millioner DOGE, verdsatt til omtrent 6.73 millioner dollar til dagens priser.

Forfengelighetsadresser, som gjør det mulig å bygge inn egendefinerte strenger i lommebokidentifikatorer, ser ut til å ha blitt brukt til å kringkaste eksplisitte politiske referanser rettet mot den iranske regjeringen.

Nobitex har også bekreftet at en del av deres varme lommebøker hadde opplevd "uautorisert tilgang", som deretter ble suspendert ved oppdagelse.

Plattformen har forsikret brukerne om at de kompromitterte lommebøkene var atskilt fra kjølelagringsreservene, som forblir sikre.

Den lovet også å kompensere berørte brukere fullt ut ved å bruke forsikringsfondet og interne reserver.

Hackere tar ansvar

En gruppe som kaller seg «Gonjeshke Darande» har påtatt seg ansvaret for bruddet.

I en uttalelse lagt ut på X anklaget gruppen Nobitex for å være et verktøy brukt av det iranske regimet for å finansiere terrorisme og unngå internasjonale sanksjoner.

Ifølge hackerne spilte Nobitex en sentral rolle i den iranske regjeringens finansielle infrastruktur og påsto at ansettelse ved børsen ble anerkjent som en form for militærtjeneste av regimet.

Gruppen har også truet med å publisere børsens kildekode og interne data, og advart om at eventuelle gjenværende midler på plattformen også var i fare.

De oppfordret brukerne til å handle raskt og «iverksette tiltak før det er for sent».

Kryptobørser er fortsatt i fare

Det siste bruddet legger til en bølge av kryptosikkerhetshendelser i 2025, med over 2,1 milliarder dollar i tapte digitale eiendeler så langt, ifølge blokkjedesikkerhetsfirmaet CertiK.

Angrep på sentraliserte børser står for mesteparten av disse tapene, ledet av Bybit-hacket på 1,4 milliarder dollar, angivelig orkestrert av nordkoreanske hackere.

Angriperne klarte å utnytte en av børsens kalde lommebøker med flere signaturer.

På samme måte ble Coinbase målrettet i et koordinert angrep der offshore kundestøtteagenter ble bestukket for å trekke ut data fra mer enn 69 000 brukere.

Den stjålne informasjonen ble angivelig brukt i svindel med sosial manipulering for å svindle kunder, med tap estimert til opptil 400 millioner dollar.

Selv om ingen krypto ble stjålet direkte fra Coinbases systemer, avslørte angrepet kritiske svakheter i den outsourcede driften.