Введение
18 июня 2025 года иранская криптовалютная биржа Nobitex подверглась хакерской атаке, в результате которой было выведено активов на сумму $81,7 млн. Расследование КоинКит анализирует детали инцидента и технические аспекты.
На своем официальном канале в X (Twitter)*, компания подтвердила несанкционированный доступ к части горячих кошельков и приостановила их работу. Также сообщила, что активы на холодных кошельках не затронуты, и пообещала компенсировать убытки за счет страхового фонда и собственных ресурсов.
*Х (Twitter) — запрещенная на территории РФ социальная сеть
В сообщении Nobitex говорится:
«Уведомление об инциденте безопасности
Сегодня утром, 19 июня, наша техническая команда обнаружила признаки несанкционированного доступа к части нашей инфраструктуры отчетности и горячему кошельку. Сразу же после обнаружения все доступы были приостановлены, и наши внутренние службы безопасности тщательно расследуют масштабы инцидента.
Мы хотели бы напомнить вам, что активы пользователей полностью защищены в соответствии со стандартами холодного хранения, и вышеупомянутый инцидент затронул только часть активов в горячих кошельках.
Nobitex берет на себя полную ответственность за этот инцидент и заверяет пользователей, что все убытки будут возмещены через страховой фонд и ресурсы Nobitex.
До завершения полной проверки сайт и приложение временно недоступны.
Более подробная информация будет опубликована по завершении расследования.
Благодарим вас за доверие и терпение»
Ход инцидента
Хакеры получили доступ к горячим кошелькам Nobitex и вывели средства через сети TRON и EVM-совместимые блокчейны. Большая часть криптовалюту была выведена на четыре адреса:
- TKFuckiRGCTerroristsNoBiTEXy2r7mNX
- 0xffFFfFFffFFffFfFffFFfFfFfFFFFfFfFFFFDead
- 1FuckiRGCTerroristsNoBiTEXXXaAovLX
- DFuckiRGCTerroristsNoBiTEXXXWLW65t
Один из кошельков имеет зашифрованную фразу Fuck IRGC Terrorists NoBitex, а другие адреса явно были сгенерированы именно для этой хакерской атаки.
Группировка Gonjeshke Darande заявила о своей причастности. В своем сообщении они пригрозили опубликовать исходный код и внутренние файлы биржи в течение 24 часов.
Детали расследования: движение украденных активов
Украденные криптовалютные активы уходили с депозитных кошельков в разных сетях. На момент анализа, средства остаются без движения, что может указывать на подготовку к их отмыванию через OTC-брокеров или децентрализованные обменные сервисы.
Рис.1. Баланс на одном из кошельков хакера, который остается без изменений на момент написания статьи
* Показана только часть визуализации движения украденных средств
Рис.2. Вывод украденных ETH на криптовалютный кошелек мошенника
Часть активов была переведена через промежуточные адреса, предположительно для усложнения отслеживания. Особое внимание привлек адрес TKFuckiRGCTerroristsNoBiTEXy2r7mNX в сети TRON, на который поступило более $49 млн. Транзакции на нем проводились с 09:35 до 11:45 МСК 18 июня 2025 года. За это время зафиксировано более ста тысяч транзакций, что говорит о заранее заготовленном плане действий.
Рис.3. Перевод украденных BTC на криптовалютный адрес хакеров
Заключение
Взлом Nobitex на $81,7 млн выявил уязвимости в системах безопасности криптобирж и подчеркнул необходимость усиления мер защиты. Движение украденных средств через сети TRON и EVM-совместимые блокчейны, а также использование vanity-адресов указывают на высокий уровень подготовки хакеров. Команда КоинКит продолжит изучение путей вывода активов, методов отмывания и технических аспектов атаки.
Статья несет исключительно информационный характер и представляет фактическую и аналитическую информацию о конкретном инциденте безопасности в сфере криптовалют.
