Произраильская хакерская группировка Gonjeshke Darande, взявшая на себя ответственность за взлом иранской биржи Nobitex, опубликовала исходный код платформы.
«Оставшиеся в Nobitex средства теперь полностью в открытом доступе», — заявили злоумышленники.
Они опубликовали скриншоты, на которых, предположительно, представлены фрагменты кода, связанные с развертыванием биржи, ее интерфейсом и элементами системы безопасности.
19 июня 2025 | 12:58Апдейт:
Директор по расследованиям «Шард» Григорий Осипов, отметил, что в течение всего нескольких часов после взлома злоумышленники совершили «огромное» количество транзакций: 109 566 в сети TRON, 2086 в биткоине и более 39 000 переводов в DOGE.
«Это свидетельствует об использовании злоумышленниками автоматизированных решений при взломе, а также о предварительной подготовке сценария и механизма вывода похищенных средств», — пояснил Осипов.
Особое внимание спикер уделил использованию vanity-адресов, на которые переводились активы. По мнению Осипова, эти адреса с осмысленными названиями «явно создавались для привлечения внимания». Их генерация требует значительных вычислительных мощностей для перебора криптографических ключей, однако установить заказчика этого процесса крайне сложно.
«Цели у злоумышленников четко политические, а не экономические. Задача такого грандиозного взлома — показать беспомощность „вражеской” инфраструктуры безопасности в области криптовалют, в том числе, сделать из этого кейса хороший пиар и использовать как мощный аргумент в первую очередь в информационной войне и во вторую — в экономической», — заключил директор по расследованиям «Шард».
Первым о подозрительных транзакциях с кошельков Nobitex сообщил ончейн-сыщик ZachXBT. Позднее команда биржи подтвердила взлом.
По данным Chainalysis, ущерб превысил $90 млн в биткоине, Ethereum, Dogecoin, Solana и других активах. Однако представители платформы оценивают потери примерно в $100 млн.
Хакеры Gonjeshke Darande назвали Nobitex «ключевым инструментом режима» для финансирования терроризма и обхода санкций.
Аналитики Chainalysis подтвердили политическую мотивацию атаки. Злоумышленники перевели средства на одноразовые кошельки без доступа к приватным ключам. Фактически активы были уничтожены, а не украдены для получения выгоды, пояснили специалисты.
В Chainalysis отметили роль Nobitex в подсанкционной криптоэкономике Ирана. По их данным, биржа служит «критически важным центром», который открывает местным пользователям доступ к глобальным рынкам.
Эксперты добавили, что предыдущие ончейн-расследования связывали Nobitex с незаконными организациями. Среди них: операторы программ-вымогателей, аффилированные с Корпусом стражей исламской революции, и российские криптобиржи под санкциями.
На фоне инцидента Центральный банк Ирана ограничил время работы всех местных торговых платформ. Теперь они могут проводить операции с 10:00 до 20:00. Этот шаг может указывать на попытку властей усилить контроль над сектором для управления системными рисками, считают в Chainalysis.
В последнем заявлении команда Nobitex сообщила, что «масштаб и последствия атаки оказались сложнее, чем предполагалось изначально».
Однако сумма финансовых потерь, о которых сообщалось в предыдущем заявлении, не изменилась.
«Чтобы обеспечить полностью безопасное и стабильное восстановление, по нашим оценкам, для возобновления доступа к сервисам Nobitex потребуется больше времени. На данном этапе мы прогнозируем поэтапное и безопасное восстановление работы сервисов в течение следующих четырех-пяти дней», — сообщили представители биржи.
Напомним, в мае ущерб криптоиндустрии от взломов достиг $244 млн, сообщили в PeckShield.