作者:Lisa&23pds 编辑:Sherry背景
2025年6月18日,链上侦探ZachXBT披露,伊朗最大的加密交易平������台Nobitex疑似遭遇黑客攻击,涉及多条公链的大额资产异常转移。
(//x.c��������om/slowmist_team/status/1935246606095593578)
Nobitex也发布公告确认,部分基础设施和热钱包确实遭遇未授权访问,但强调用户资金安全无虞。
(//x.com/GonjeshkeDarand/status/1935412212������320891089)时间线梳理
6月18日
ZachXBT披露伊朗加密交����易所Nobitex疑似遭遇黑客攻击,在TRON链上发生大量可疑出金交易。慢雾(SlowMist)进一步确认攻击涉���������及多条链,初步估算损失约为8,170万美元。
Nobitex表示,技术团队检测到部�����分基础设施与热钱包遭�������到*非*法访问,已立即切断外部接口并启动调查。绝大多数资产存储在冷钱包中未受影响,此次入侵仅限于其用于日常流动性的部分热钱包。
黑客组织PredatorySparrow(GonjeshkeDarande)宣称对此次攻击负责,并宣告将在24小时内公布Nobitex源�������代码和内部数据。
(//x.com/GonjeshkeDarand/�����s�������tatus/1935593397156270534)源码信息
根据攻击者放出来的源码信息,得到文件夹信息如下:
Nobitex的核心系统主要采用Python编写,并使用K8s进行部署与管理。结合已知信息,我们猜测攻击者可能是突破了运维边�������界,������从而进入内网,此处暂不展开分析。MistTrack分析
攻击者使用了多个看似合法、实则不可控的“销毁地址”接收资产,这些地址多数符合链上地址格式�����校验规则,能够成功接收资产,但一旦资金转入,即等于永久销毁,同时,这些地址还带有情绪性、挑衅性词汇,具有攻击意味。攻击者使用的部分“销毁地址”如下:
TKFuckiRGCTerroristsNoBiTEXy2r7mNX
0xffFFfFFffFFffFfFffFFfFfFfFFFFfFfFFFFDead
1FuckiRGCTerroristsNoBiTEXXXaAovLX
DFuckiRGCTerroristsNoBiTEXXXWLW65t
FuckiRGCTerroristsNoBiTEXXXXXXXXXXXXXXXXXXX
UQABFuckIRGCTerroristsNOBITEX1111111111111111_jT
one19fuckterr0rfuckterr0rfuckterr0rxn7kj7u
rFuckiRGCTerroristsNoBiTEXypBrmUM
我们使用链上反*洗*钱与追踪工具MistTrack进行分析,Nobitex的损失不完全统计如下:
攻击者盗取的EVM链主要包括BSC、Et�������hereum、Arbitrum、Polygon以及Avalanche,除了每个生态的主流币种,还包含UNI、LINK、SHIB等多种Tokens。
在Dogechain上,攻击者总共盗取39,409,954.5439DOG��������E,约34,081笔交易。
在TON、Harmony、Ripple上,攻击者分别盗取3,374.4TON、35,������098,851.74ONE和373,852.87XRP:
MistTrack已将相关地址加入恶意地址库,并将持续关注相关链上动向。结语
Nobitex事件再次提醒行业:安全是一个整体,平台需进一步强化安全防护,采用更�������先进的防御机制,特别是对于使用热钱包进行日常运营的平台而言,慢�����雾(SlowMist)建议:
严格隔离冷热钱包权限与访问路径,定期审计热钱包调用权限;
采用链上实时监控系统(如MistEye),及时获取全面的威胁情报和动态安全监控;
配合链上反*洗*钱系统(如MistTrack),及时发现资金异常流向;
加强应急响应机制,确保攻击发生后能在黄金窗口内有效应对。
事件后续仍在调查中,慢雾安全团队将持续跟进并及时更新进展。
