Un collettivo di hacker filo-israeliano ha mantenuto la promessa di pubblicare il codice sorgente completo di Nobitex, il più grande exchange di criptovalute dell'Iran, appena un giorno dopo aver orchestrato un exploit blockchain di alto profilo che ha coinvolto oltre 100 milioni di dollari in asset digitali.
Il gruppo noto come Gonjeshke Darande, noto anche come Predatory Sparrow , ha pubblicato giovedì un post sulla piattaforma social X confermando la pubblicazione dei dati interni di Nobitex.
" Il tempo è scaduto, il codice sorgente completo è linkato qui sotto. LE RISORSE RIMANENTI IN NOBITEX SONO ORA COMPLETAMENTE DISPONIBILI ", si leggeva nel post.
Un hacker rilascia uno script blockchain dopo un exploit da 100 milioni di dollari
La fuga di notizie, pubblicata su un thread X, includeva componenti dell'infrastruttura della piattaforma, come script blockchain , configurazioni interne per la privacy e un elenco di server. Gli analisti di sicurezza informatica affermano che la divulgazione compromette di fatto la sicurezza back-end di Nobitex, lasciando tutti gli asset rimanenti sull'exchange vulnerabili a ulteriori attacchi.
Il tempo è scaduto: il codice sorgente completo è riportato di seguito.
I BENI RIMASTI IN NOBITEX SONO ORA COMPLETAMENTE DISPONIBILI.
Il tuo business è una questione di soldi e di lavoroMa prima di proseguire, conosciamo Nobitex dall'interno:
Distribuzione di Exchange (1/8) pic.twitter.com/jiMfBpNXwd
— Gonjeshke Darande (@GonjeshkeDarand) 19 giugno 2025
La pubblicazione del codice sorgente fa seguito alle minacce diffuse il giorno prima, quando il gruppo si era assunto la responsabilità di un attacco coordinato su più reti blockchain.
Secondo la dichiarazione, la motivazione del gruppo derivava dal presunto ruolo di Nobitex nell'aiutare il governo iraniano a eludere le sanzioni internazionali . Hanno definito lo scambio come "lo strumento preferito dal regime per violare le sanzioni ".
Predatory Sparrow si è attribuito la responsabilità di altri attacchi informatici perpetrati negli ultimi giorni, tra cui uno rivolto alla banca statale iraniana Bank Sepah.
100 milioni di dollari in criptovalute bruciati, non rubati
Mercoledì, le società di analisi blockchain Chainalysis ed Elliptic hanno confermato che circa 100 milioni di dollari in criptovalute, tra cui Bitcoin, Ethereum, XRP, Dogecoin, Solana, Tron e Toncoin, sono stati coinvolti nella rapina.
Secondo Andrew Fierman, responsabile dell'intelligence per la sicurezza nazionale di Chainalysis, i beni rubati sono stati inviati a portafogli bruciatori, indirizzi crittografici a cui gli aggressori non possono accedere.
Gli analisti ritengono che i fondi non siano stati rubati a scopo di lucro, ma siano stati distrutti per inviare un messaggio politico. " Il movente per il furto di oltre 90 milioni di dollari è diverso dal guadagno economico ", ha dichiarato Fierman, definendo l'atto simbolico e distruttivo.
Anche l'analisi di Elliptic supporta questa interpretazione, rilevando l'uso di portafogli vanitosi dai nomi provocatori come "1FuckiRGCTerroristsNoBiTEXXXaAovLX" e "DFuckiRGCTerroristsNoBiTEXXXWLW65t". Questi indirizzi sembrano essere stati creati con generatori di forza bruta e non dispongono di chiavi private recuperabili, probabilmente un tentativo deliberato di rendere i fondi irrecuperabili.
Yehor Rudytsia, ricercatore in sicurezza presso l'azienda blockchain Hacken, ha affermato che la scelta degli indirizzi wallet utilizzati nell'attacco è stata più "politica" di un tipico furto finanziario.
" I nomi dei portafogli e il loro comportamento suggeriscono una dichiarazione politica piuttosto che un furto motivato da motivi finanziari ", ha affermato Rudytsia.
Ha aggiunto che la maggior parte degli asset, oltre 20 token diversi su catene compatibili con EVM, sono stati inviati a indirizzi burner puliti. " L'unica possibilità di recupero parziale risiede in Tether, che potrebbe riemettere i 55 milioni di dollari in USDT rubati ", ha spiegato.
Nobitex ha risposto agli sviluppi giovedì, affermando che non si sono verificate ulteriori perdite a seguito della fuga di dati. La borsa ha annunciato l'intenzione di ripristinare i servizi entro cinque giorni, sebbene le continue interruzioni di internet in Iran potrebbero rallentare gli sforzi di recupero.
Scambio collegato a gruppi militari e militanti iraniani
L'hacker ha affermato che Nobitex è collegato al Corpo delle Guardie della Rivoluzione Islamica (IRGC) dell'Iran, un'organizzazione militare designata come entità terroristica da Stati Uniti, Regno Unito, Unione Europea e Canada.
Le ricerche condotte da Elliptic hanno precedentemente collegato Nobitex ad agenti di ransomware sanzionati per i loro legami con il Corpo delle guardie della rivoluzione islamica (IRGC) e a individui strettamente affiliati alla Guida suprema dell'Iran, l'Ayatollah Ali Khamenei.
I dati della blockchain mostrano anche l'attività transazionale tra i portafogli Nobitex e gli account collegati a gruppi tra cui Hamas, la Jihad islamica palestinese e il movimento Houthi dello Yemen.
KEY Difference Wire aiuta i marchi di criptovalute a sfondare e dominare rapidamente i titoli dei giornali