Iransk kryptobørs Nobitex starter delvis på nytt midt i gransking etter hacking

Irans største kryptobørs, Nobitex, har gjenopptatt driften, litt over en uke etter at det ble målrettet av et politisk motivert cyberangrep som resulterte i tap av 100 millioner dollar i digitale eiendeler.

Nobitex har begynt å gjenopprette lommeboktilgang i faser, sa operatører av børsen i et innlegg 29.

Prosessen rulles ut gradvis, og starter med verifiserte brukere og prioriterer spotwallet-tjenester.

Tilgang til andre lommeboktyper vil følge etter hvert som systemet stabiliserer seg.

I følge kunngjøringen vil bare brukere som fullfører identitetsbekreftelse få tilgang til lommeboken sin.

Når brukerdata er bekreftet, vil lommeboksaldoer vises i faser.

I mellomtiden har Nobitex varslet brukere om at forsinkelser kan oppstå på grunn av ytterligere sikkerhetskontroller og tekniske forhold, og oppfordret brukere til å være tålmodige i verifiseringsperioden.

Brukere vil få lov til å ta ut beholdningen sin fra og med 30.

En fast tidslinje for full retur av driften ble imidlertid ikke avslørt.

Nobitex advarte også brukere mot å sette inn eiendeler til gamle lommebokadresser på grunn av en fullstendig migrering av lommeboksystemet, og bemerket at dette kan føre til permanent tap av midler.

Nobitex-hack så 100 millioner dollar tappet og brent

18. juni ble Nobitex utsatt for et stort brudd da den pro-israelske hackergruppen Gonjeshke Darande, også kjent som Predatory Sparrow, infiltrerte deres varme lommebøker og sugde til seg 100 millioner dollar i kryptovalutaer, inkludert Bitcoin, Ethereum, Dogecoin, Ripple, Solana og Ton.

Ifølge angriperne var hackingen ment å forstyrre det iranske regimets finansielle infrastruktur.

Hackerne brukte forfengelighetslommebokadresser innebygd med anti-regjeringsslagord og kunngjorde senere at de hadde brent over 90 millioner dollar av de stjålne eiendelene ved å overføre dem til uopprettelige lommebøker.

I en ytterligere eskalering lekket gruppen det den hevdet var Nobitex' fullstendige kildekode og interne infrastrukturdata.

Den åttedelte lekkasjen inkluderte serverkonfigurasjoner, personvernmoduler og distribusjonssystemer, noe som reiste ytterligere bekymringer om plattformens sikkerhet og eksponeringen av gjenværende brukermidler.

Nobitex bekreftet senere at kjølelagerreservene var urørt og lovet deretter å kompensere berørte brukere fullt ut ved å bruke forsikringsfondet og interne reserver.

Etterdønninger av hacket

Som svar på hendelsen innførte iranske myndigheter operasjonelle restriksjoner på alle innenlandske kryptobørser, og begrenset deres aktivitet til mellom kl. 10 og 8.

Irans sentralbank implementerte portforbudet som et tiltak for å redusere systemrisiko og for å stramme inn tilsynet i en sektor den ser på som kritisk midt i pågående internasjonale sanksjoner.

I følge data fra blokkjedeanalysefirmaet Chainalysis spiller Nobitex en stor rolle i Irans kryptoøkonomi, etter å ha behandlet over 11 milliarder dollar i tilstrømning, mer enn alle andre iranske børser til sammen.

Børsen har også vært knyttet til lommebøker knyttet til sanksjonerte enheter, inkludert IRGC-tilknyttede grupper, Hamas-innordnede medier og svartelistede russiske børser.

Ytterligere gransking fulgte en undersøkelse av blokkjede-etterretningsfirmaet Global Ledger, som avdekket mønstre av mistenkelige fondsbevegelser før det nylige angrepet.

Disse inkluderte bruk av peelchains, engangslommebøker og systematiske saldosveip, teknikker som ofte forbindes med hvitvasking av penger og transaksjonsforvirring.

Granskingen fant også at Nobitex' såkalte «redningslommebok», som ble utplassert etter bruddet, hadde vært aktiv i flere måneder tidligere, og utført gradvise overføringer av store summer.

Etterforskere konkluderte med at disse metodene indikerte bevisst innsats for å skjule pengestrømmer, noe som reiste spørsmål om børsens operasjonelle åpenhet og potensielle koblinger til ulovlig finansiering.