イランの取引所での1億ドルの資産の異常な破壊を整理する

著者: Lisa & 23pds

編集者:シェリー

オリジナルタイトル:約1億ドルの破壊:イランの取引所Nobitexの盗難のコーミング

バックグラウンド

2025年6月18日、オンチェーン探偵のZachXBTが、イラン最大の暗号取引プラットフォームNobitexがハッキング攻撃を受けた疑いがあり、複数のパブリックチェーンにおける大額資産の異常移転が関与していることを明らかにしました。

!

()

慢雾(SlowMist) さらに確認したところ、影響を受けた資産には TRON、EVM、および BTC ネットワークが含まれており、初期の損失推定額は約 8,170 万ドルです。

!

()

Nobitexは、いくつかのインフラストラクチャとホットウォレットが確かに未承認のアクセスを受けたことを確認する発表を行いましたが、ユーザーの資金の安全性には問題がないことを強調しました。

!

()

注目すべきは、攻撃者が資金を移動させただけでなく、大量の資産を特別な焼却アドレスに積極的に転送し、"焼却された"資産の価値は約1億ドルであるということです。

!

()

タイムラインの整理

6月18日

・ZachXBTは、イランの仮想通貨取引所Nobitexがハッキングされた疑いがあり、TRONチェーン上で不審な出金取引が大量に発生したことを明らかにしました。 Slowmist (SlowMist)さらに、この攻撃には複数のチェーンが関与しており、暫定的な推定損害額は約8,170万ドルであることを確認しました。

• Nobitexは、技術チームが一部のインフラストラクチャとホットウォレットが不正アクセスされたことを検出し、外部インターフェースを直ちに切断し調査を開始したことを示しています。大多数の資産はコールドウォレットに保管されており影響を受けていません。この侵入は日常の流動性に使用される一部のホットウォレットに限られています。
• ハッキンググループ「Predatory Sparrow (Gonjeshke Darande)」は、この攻撃の犯行声明を出し、Nobitexのソースコードと内部データを24時間以内に公開すると発表しました。

!

()

6月19日

• Nobitexは第4号声明を発表し、プラットフォームがサーバーの外部アクセス経路を完全に封鎖したことを示しました。ホットウォレットの転送は「資金を保護するためのセキュリティチームによる積極的な移行」であると説明されています。また、公式は盗まれた資産が任意の文字で構成された非標準アドレスのウォレットに移転されたことを確認しました。これらのウォレットはユーザー資産を破棄するために使用され、合計約1億ドルに達します。 *ハッキンググループPredatory Sparrow (Gonjeshke Darande)は、約9,000万ドル相当の暗号資産を燃やしたと主張し、それらを「制裁回避ツール」と呼んでいます。
• ハッカー集団 Predatory Sparrow (Gonjeshke Darande) が Nobitex のソースコードを公開しました。

!

()

ソースコード情報

攻撃者が公開したソースコード情報に基づいて、フォルダー情報は以下の通りです：

!

具体的には、以下の内容が含まれます：

!

Nobitexの基幹システムは、主にPythonで記述され、K8sを使用してデプロイおよび管理されています。 既知の情報から、攻撃者はO&Mの境界を突破してイントラネットに侵入した可能性があると推測されます。

MistTrack分析

攻撃者は、一見正当であるが実際には制御不能な複数の「破壊アドレス」を使用して資産を受け取り、これらのアドレスのほとんどはオンチェーンアドレス形式の検証ルールに準拠しており、資産を正常に受け取ることができますが、資金が送金されると、それは永久的な破壊に相当し、同時に、これらのアドレスには感情的で挑発的な言葉もあり、攻撃的です。 攻撃者が使用する「破棄アドレス」には、次のようなものがあります。

• TKFuckiRGCTテロリストNoBiTEXy2r7mNX ※0xffFFfFFffFFffFfFffFFfFfFfFFFFfFfFFFFDead
• 1FuckiRGCTerroristsNoBiTEXXXaAovLX
• DFuckiRGCTテロリストNoBiTEXXXWLW65t
• FuckiRGCTerroristsNoBiTEXXXXXXXXXXXXXXXXXXXさん ※UQABFuckIRGCTerroristsNOBITEX1111111111111111_jT
• one19ファックテロファックテロファックテロxn7kj7u
• rFuckiRGCTerroristsNoBiTEXypBrmUM

私たちは、オンチェーンのマネーロンダリングと追跡ツールであるMistTrackを使用して分析を行い、Nobitexの損失の不完全な統計は以下の通りです：

!

MistTrackの分析によると、攻撃者はTRONで110,641件のUSDT取引と2,889件のTRX取引を完了しました。

!

攻撃者が盗んだ EVM チェーンには、BSC、Ethereum、Arbitrum、Polygon、Avalanche が含まれており、各エコシステムの主要なコインに加えて、UNI、LINK、SHIB などの多くのトークンも含まれています。

!

ビットコインでは、攻撃者は合計18.4716BTC、約2,086トランザクションを盗みました。

!

Dogechainでは、攻撃者は合計39,409,954.5439 DOGEを盗み、約34,081件の取引を行いました。

!

ソラナで、攻撃者がSOL、WIF、そしてRENDERを盗みました：

!

TON、Harmony、Rippleでは、攻撃者はそれぞれ3,374.4 TON、35,098,851.74 ONE、373,852.87 XRPを盗みました。

!

MistTrackは関連アドレスを悪意のあるアドレスリストに追加し、関連するチェーン上の動向を引き続き監視します。

エピローグ

Nobitexの事件は、セキュリティが全体であり、プラットフォームはセキュリティ保護をさらに強化し、より高度な防御メカニズムを採用する必要があることを業界に改めて思い出させます。特に、特に日常業務にホットウォレットを使用するプラットフォームについては、推奨事項(SlowMist)。

*ホットウォレットとコールドウォレットの権限とアクセスパスを厳密に分離し、ホットウォレットの通話権限を定期的に監査します。

• チェーン上のリアルタイム監視システム（例えば MistEye）を採用し、包括的な脅威インテリジェンスと動的セキュリティ監視をタイムリーに取得します；
• オンチェーンのマネーロンダリング防止システム（例えば、MistTrack）と連携し、資金の異常な流れを迅速に発見する；
• 緊急対応メカニズムを強化し、攻撃発生後にゴールデンウィンドウ内で効果的に対応できるようにする。

インシデントのフォローアップはまだ調査中であり、Slow Mistセキュリティチームは引き続きフォローアップを行い、タイムリーに進行状況を更新します。