" Кошельки иранской криптовалютной биржи были скомпрометированы, в результате чего злоумышленники украли не менее $81 млн цифровых активов.
Согласно данным ончейн-сыщика ZachXBT, сумма ущерба составила не менее $81,7 млн, большая часть которых была выведена из кошельков в сети Tron и EVM-совместимых блокчейнах.
Взлом был раскрыт в сообщении Telegram от 19 июня. Злоумышленники использовали так называемые адреса тщеславия для эксплуатации системы и вывода средств.
Тщеславный адрес — это публичный кошелек с заранее заданной последовательностью символов, которую пользователь может создать самостоятельно. Первый из таких адресов — TKFuckiRGCTerroristsNoBiTEXy2r7mNX — позволил хакерам вывести около $49 млн. Второй адрес — 0xffFFfFFffFFffFfFffFFffFfFffFFFFFFFFFFFFDead — также был задействован, согласно данным Tronscan.
Группа под названием Gonjeshke Darande взяла на себя ответственность за инцидент. Она заявила, что действует от имени Израиля и проводит операции против финансовой инфраструктуры Ирана.
Кошелек злоумышленника «TKFucki». Источник: Tronscan.
Nobitex подтвердил, что обнаружил признаки несанкционированного доступа к своим горячим кошелькам и немедленно заблокировал их.
«Все активы пользователей полностью защищены в холодном хранении, и этот инцидент затронул лишь часть активов в горячих кошельках», — сообщила биржа в X. Также говорится, что «все убытки будут покрыты за счет страхового фонда и внутренних ресурсов платформы».
Хакан Унал, старший специалист по безопасности в Cyvers, заявил:
«Похоже, что уязвимость возникла из-за критической ошибки в управлении доступом, что дало возможность проникнуть во внутренние системы и вывести средства из нескольких блокчейнов».
Он добавил, что несмотря на масштаб утечки, украденные средства пока остаются нетронутыми.
Этот случай стал одним из крупнейших взломов 2025 года. По данным CertiK, за год общая сумма украденных активов превысила $2,1 млрд, включая утечки из протоколов, ошибки в смарт-контрактах и социальную инженерию.
Источник: CertiK
Ронгхуэй Гу, соучредитель CertiK, сказал 2 июня:
«Большая часть убытков в этом году вызвана утечками ключей, ошибками в управлении и эксплуатацией недостатков в протоколах».
Он также отметил, что сейчас чаще происходят атаки методом социальной инженерии, такие как подмена адресов, чем эксплоиты на уровне смарт-контрактов.
Хакеры сделали политическое заявление
Группа Gonjeshke Darande заявила, что опубликует исходный код и внутренние файлы биржи в течение 24 часов, предупредив, что оставшиеся на платформе активы остаются в зоне риска.
«Nobitex играет ключевую роль в финансировании террористических усилий режима и является любимым инструментом для обхода международных санкций», — заявила группа.
Также указывается, что работа в Nobitex считается формой военной службы в Иране, поскольку платформа якобы помогает стране обходить экономические ограничения.
Источник: Gonjeshke Darande
Фон конфликта между Израилем и Ираном
Взлом произошел на фоне эскалации напряженности между Израилем и Ираном. 13 июня Израиль нанес авиаудары по объектам в Иране — это стало его самой масштабной атакой с тех пор, как страны вступили в прямое противостояние.
По информации The Guardian, в результате этих столкновений погибло 224 человека в Иране и 24 в Израиле .
Nobitex: политический инструмент или коммерческая биржа?
Егор Рудица, аналитик безопасности из Hacken, сообщил:
«Это больше похоже на политическое заявление, чем на финансовую кражу. В сетях EVM было отправлено более 20 токенов на чистые адреса сжигания. Единственная возможная частичная компенсация — повторный выпуск украденного USDT на сумму $55 млн».
Данные Arkham показывают, что общая стоимость, хранящаяся в кошельке Nobitex, упала с $1,8 млрд до $96 млн всего за два дня, но, по словам Унала из Cyvers, это может быть связано с обычным перемещением активов, а не полной потерей.
