近 1 億美元被銷毀:伊朗交易所 Nobitex 被盜事件梳理
作者:Lisa&23pds 編輯:Sherry背景
2025年6月18日,鏈上偵探ZachXBT披露,伊朗最大的加密交易平臺Nobitex疑似遭遇黑客攻擊,涉及多條公鏈的大額資產(chǎn)異常轉(zhuǎn)移。
(https://x.com/slowmist_team/status/1935246606095593578)
Nobitex也發(fā)布公告確認(rèn),部分基礎(chǔ)設(shè)施和熱錢包確實遭遇未授權(quán)訪問,但強調(diào)用戶資金安全無虞。
(https://x.com/GonjeshkeDarand/status/1935412212320891089)時間線梳理
6月18日
ZachXBT披露伊朗加密交易所Nobitex疑似遭遇黑客攻擊,在TRON鏈上發(fā)生大量可疑出金交易。慢霧(SlowMist)進一步確認(rèn)攻擊涉及多條鏈,初步估算損失約為8,170萬美元。
Nobitex表示,技術(shù)團隊檢測到部分基礎(chǔ)設(shè)施與熱錢包遭到*非*法訪問,已立即切斷外部接口并啟動調(diào)查。絕大多數(shù)資產(chǎn)存儲在冷錢包中未受影響,此次入侵僅限于其用于日常流動性的部分熱錢包。
黑客組織PredatorySparrow(GonjeshkeDarande)宣稱對此次攻擊負(fù)責(zé),并宣告將在24小時內(nèi)公布Nobitex源代碼和內(nèi)部數(shù)據(jù)。
(https://x.com/GonjeshkeDarand/status/1935593397156270534)源碼信息
根據(jù)攻擊者放出來的源碼信息,得到文件夾信息如下:
Nobitex的核心系統(tǒng)主要采用Python編寫,并使用K8s進行部署與管理。結(jié)合已知信息,我們猜測攻擊者可能是突破了運維邊界,從而進入內(nèi)網(wǎng),此處暫不展開分析。MistTrack分析
攻擊者使用了多個看似合法、實則不可控的“銷毀地址”接收資產(chǎn),這些地址多數(shù)符合鏈上地址格式校驗規(guī)則,能夠成功接收資產(chǎn),但一旦資金轉(zhuǎn)入,即等于永久銷毀,同時,這些地址還帶有情緒性、挑釁性詞匯,具有攻擊意味。攻擊者使用的部分“銷毀地址”如下:
TKFuckiRGCTerroristsNoBiTEXy2r7mNX
0xffFFfFFffFFffFfFffFFfFfFfFFFFfFfFFFFDead
1FuckiRGCTerroristsNoBiTEXXXaAovLX
DFuckiRGCTerroristsNoBiTEXXXWLW65t
FuckiRGCTerroristsNoBiTEXXXXXXXXXXXXXXXXXXX
UQABFuckIRGCTerroristsNOBITEX1111111111111111_jT
one19fuckterr0rfuckterr0rfuckterr0rxn7kj7u
rFuckiRGCTerroristsNoBiTEXypBrmUM
我們使用鏈上反*洗*錢與追蹤工具MistTrack進行分析,Nobitex的損失不完全統(tǒng)計如下:
攻擊者盜取的EVM鏈主要包括BSC、Ethereum、Arbitrum、Polygon以及Avalanche,除了每個生態(tài)的主流幣種,還包含UNI、LINK、SHIB等多種Tokens。
在Dogechain上,攻擊者總共盜取39,409,954.5439DOGE,約34,081筆交易。
在TON、Harmony、Ripple上,攻擊者分別盜取3,374.4TON、35,098,851.74ONE和373,852.87XRP:
MistTrack已將相關(guān)地址加入惡意地址庫,并將持續(xù)關(guān)注相關(guān)鏈上動向。結(jié)語
Nobitex事件再次提醒行業(yè):安全是一個整體,平臺需進一步強化安全防護,采用更先進的防御機制,特別是對于使用熱錢包進行日常運營的平臺而言,慢霧(SlowMist)建議:
嚴(yán)格隔離冷熱錢包權(quán)限與訪問路徑,定期審計熱錢包調(diào)用權(quán)限;
采用鏈上實時監(jiān)控系統(tǒng)(如MistEye),及時獲取全面的威脅情報和動態(tài)安全監(jiān)控;
配合鏈上反*洗*錢系統(tǒng)(如MistTrack),及時發(fā)現(xiàn)資金異常流向;
加強應(yīng)急響應(yīng)機制,確保攻擊發(fā)生后能在黃金窗口內(nèi)有效應(yīng)對。
事件后續(xù)仍在調(diào)查中,慢霧安全團隊將持續(xù)跟進并及時更新進展。