著者: Lisa & 23pds
編集者:シェリー
背景
2025年6月18日、オンチェーン探偵ZachXBTは、イラン最大の暗号資産取引プラットフォームNobitexがハッキングされ、複数のパブリックチェーン間で大量の資産が異常に転送された疑いがあることを明らかにした。
(https://t.me/investigations)
SlowMistはさらに、このインシデントで影響を受けた資産にはTRON、EVM、BTCネットワークが含まれており、当初推定された損失は約8,170万ドルであることを確認した。
(https://x.com/slowmist_team/status/1935246606095593578)
Nobitex はまた、一部のインフラとホットウォレットが実際に不正アクセスを受けたことを確認する発表も発表したが、ユーザーの資金は安全であると強調した。
(https://x.com/nobitexmarket/status/1935244739575480472)
注目すべきは、攻撃者が資金を送金しただけでなく、特別に設計された破壊アドレスに多額の資産を積極的に移転したことです。「焼却」された資産の価値は1億ドル近くに上りました。
(https://x.com/GonjeshkeDarand/status/1935412212320891089)
タイムライン
6月18日
- ZachXBTは、イランの暗号資産取引所Nobitexがハッキングを受けた疑いがあり、TRONチェーン上で多数の不審な出金取引が発生したことを明らかにした。SlowMistはさらに、攻撃は複数のチェーンに及んでおり、当初推定された損失は約8,170万米ドルであることを確認した。
- Nobitexは、技術チームが一部のインフラとホットウォレットへの不正アクセスを検知し、直ちに外部インターフェースを遮断して調査を開始したと発表した。コールドウォレットに保管されている資産の大部分は影響を受けておらず、侵入は日常的な流動性確保に利用されている一部のホットウォレットに限定されていた。
- ハッカー集団Predatory Sparrow(Gonjeshke Darande)が攻撃の責任を主張し、24時間以内にNobitexのソースコードと内部データを公開すると発表した。
(https://x.com/GonjeshkeDarand/status/1935231018937536681)
6月19日
- Nobitexは4回目の声明を発表し、プラットフォームはサーバーへの外部アクセスを完全に遮断しており、ホットウォレットへの送金は「資金保護のためにセキュリティチームが行った積極的な移行」であると述べた。同時に、盗まれた資産が任意の文字で構成された非標準アドレスを持つ複数のウォレットに送金され、ユーザー資産の破壊に使用されたことも確認された。その総額は約1億ドルに上る。
- ハッカー集団Predatory Sparrow(ゴンジェシュケ・ダランデ)は、約9000万ドル相当の暗号資産を燃やしたと主張し、これを「制裁回避ツール」と呼んでいる。
- ハッカーグループ Predatory Sparrow (Gonjeshke Darande) が Nobitex のソースコードを公開しました。
(https://x.com/GonjeshkeDarand/status/1935593397156270534)
ソースコード情報
攻撃者が公開したソースコード情報によると、フォルダ情報は次のとおりです。
具体的には、以下の内容が含まれます。
Nobitexのコアシステムは主にPythonで記述されており、K8sを使用して展開・管理されています。既知の情報に基づくと、攻撃者は運用・保守の境界を突破してイントラネットに侵入した可能性があると推測されますが、ここでは分析しません。
ミストトラック分析
攻撃者は、一見正当に見えるものの制御不能な複数の「破壊アドレス」を用いて資産を受領しました。これらのアドレスのほとんどはオンチェーンアドレス形式の検証ルールに準拠しており、資産の受領は正常に行えますが、資金が送金されると永久に破壊されます。また、これらのアドレスには感情的かつ挑発的な言葉が含まれており、攻撃者にとって不快なものです。攻撃者が使用した「破壊アドレス」の一部を以下に示します。
- TKFuckiRGCTerroristsNoBiTEXy2r7mNX
- 0xffFFfFFffFFffFfFffFFfFfFfFFFFfFfFFFF死んだ
- 1FuckiRGCTerroristsNoBitTEXXXaAovLX
- DFuckiRGCTerroristsNoBiTEXXWLW65t
- FuckiRGCTerroristsNoBiTEXXXXXXXXXXXXXXXXXXX
- UQABFuckIRGCTerroristsNOBITEX11111111111111111_jT
- ワン19ファックターr0rファックターr0rファックターr0rxn7kj7u
- rFuckiRGCTerroristsNoBiTEXypBrmUM
分析にはオンチェーンのマネーロンダリング防止および追跡ツールMistTrackを使用しました。Nobitexの損失に関する不完全な統計は次のとおりです。
MistTrackの分析によると、攻撃者はTRON上で110,641件のUSDT取引と2,889件のTRX取引を完了した。
攻撃者が盗んだEVMチェーンには、主にBSC、Ethereum、Arbitrum、Polygon、Avalancheが含まれています。各エコシステムの主要通貨に加え、UNI、LINK、SHIBなどのトークンも含まれています。
ビットコインでは、攻撃者は合計18.4716 BTC、つまり約2,086件の取引を盗みました。
Dogechainでは、攻撃者は合計39,409,954.5439 DOGE(約34,081件のトランザクション)を盗みました。
Solanaでは、攻撃者はSOL、WIF、RENDERを盗みます。
TON、Harmony、Rippleでは、攻撃者はそれぞれ3,374.4 TON、35,098,851.74 ONE、373,852.87 XRPを盗みました。
MistTrackは関連アドレスを悪意のあるアドレスデータベースに追加しており、今後も関連するチェーンの動向に注目していきます。
結論
Nobitex事件は、セキュリティが全体として重要であることを業界に改めて認識させました。プラットフォームは、特に日常業務にホットウォレットを使用しているプラットフォームにおいて、セキュリティ保護をさらに強化し、より高度な防御メカニズムを導入する必要があります。SlowMistは以下の提言を行っています。
- コールドウォレットとホットウォレットの権限とアクセスパスを厳密に分離し、ホットウォレットの呼び出し権限を定期的に監査します。
- オンチェーンのリアルタイム監視システム(MistEye など)を使用して、包括的な脅威インテリジェンスと動的なセキュリティ監視をタイムリーに取得します。
- オンチェーンのマネーロンダリング防止システム(MistTrackなど)と連携し、異常な資金の流れを迅速に検出します。
- 攻撃発生後のゴールデンウィンドウ内で効果的な対応を確実に行えるよう、緊急対応メカニズムを強化します。
- この事件は現在も調査中であり、SlowMist セキュリティ チームは引き続き追跡調査を行い、進捗状況を適時更新します。
