Хакеры Gonjeshke Darande обнародовали исходный код иранской Nobitex, атакуя политику и безопасность криптоинфраструктуры

Произраильская хакерская группа, известная как Gonjeshke Darande, взяла на себя ответственность за взлом иранской криптобиржи Nobitex и опубликовала исходный код её платформы.

*«Теперь оставшиеся средства в Nobitex полностью открыты для доступа», — отметили злоумышленники.*

Они также выложили скриншоты, на которых, как предполагается, видны части кода, связанные с архитектурой биржи, её интерфейсом и элементами системы безопасности.

Григорий Осипов, директор по расследованиям в компании «Шард», сообщил, что в течение нескольких часов после взлома хакеры осуществили «колоссальное» количество транзакций: 109 566 в сети TRON, 2086 в биткойнах и более 39 000 переводов в DOGE.

*«Это говорит о том, что злоумышленники использовали автоматизированные решения в процессе атаки, а также о предварительной подготовке сценария и механизма вывода украденных средств», — добавил Осипов.*

Он также подчеркнул важность использования таких знаменитых vanity-адресов, на которые переводились активы. По его мнению, такие адреса с «осмысленными» названиями «явно были созданы для привлечения внимания». Генерация таких адресов требует значительных вычислительных ресурсов, что затрудняет идентификацию заказчика этого процесса.

*«Цели злоумышленников имеют явно политический характер, а не экономический. Главная задача такого масштабного взлома — продемонстрировать беспомощность „вражеской” инфраструктуры безопасности в сфере криптовалют, а также использовать этот случай для пиара и как серьезный аргумент в информационной и, частично, экономической войне», — заключил Осипов.*

Первым о подозрительных транзакциях с кошельков Nobitex сообщил ончейн-аналитик ZachXBT, после чего команда биржи подтвердила факт взлома.

По данным Chainalysis, ущерб от инцидента превысил 90 миллионов долларов, охватывающий такие криптовалюты, как биткойн, Ethereum, Dogecoin и Solana. Однако представители Nobitex оценивают свои потери ближе к 100 миллионам долларов.

В своем последнем объявлении Nobitex заявила: «Для обеспечения безопасного восстановления после инцидента потребуется больше времени, чем мы изначально предполагали. Мы ожидаем восстановление доступа к сервисам в течение следующих четырех-пяти дней».

Хакеры Gonjeshke Darande заявили, что Nobitex является «ключевым инструментом режима» для финансирования терроризма и обхода международных санкций. Аналитики Chainalysis подтвердили, что атака имела политический подтекст, так как средства были переведены на одноразовые кошельки без доступа к приватным ключам, что фактически уничтожило активы.

Chainalysis также отметила важность Nobitex в контексте подсанкционной криптоэкономики Ирана, заявив, что эта биржа является «жизненно важным центром», который предоставляет местным пользователям доступ к глобальным рынкам.

Эксперты добавили, что предыдущие исследования связывали Nobitex с рядом вроде незаконных группировок, в том числе с операторами программ-вымогателей, аффилированными с Корпусом стражей исламской революции, и с российскими криптобиржами под санкциями.

На фоне данного инцидента Центральный банк Ирана ограничил время работы местных торговых площадок, разрешив им проводить операции только с 10:00 до 20:00, что может свидетельствовать об усилении контроля над сектором для снижения системных рисков, как предполагают в Chainalysis.

В своём последнем отчете команда Nobitex подтвердила, что «размер и последствия атаки оказались значительно более сложными, чем ожидалось». При этом ранее озвученные суммы финансовых потерь остались без изменений.

Необходимо отметить, что в мае ущерб, причиненный взломами в криптоиндустрии, составил 244 миллиона долларов, согласно сведениям от PeckShield.