近1億美元資金失竊，伊朗交易所Nobitex被竊事件梳理

事件概述：2025年6月18日，伊朗最大加密交易所Nobitex遭駭客攻擊，涉及TRON、EVM及BTC等多條公鏈，初步損失約8,170萬美元，後續確認被「燒毀」資產價值近1億美元。
攻擊細節：
- 駭客組織Predatory Sparrow宣稱負責，並公開Nobitex原始碼及內部資料。
- 攻擊者使用特製「銷毀地址」轉移並銷毀資產，地址名稱帶有挑釁性詞彙。
- 受影響資產包括USDT、TRX、BTC、DOGE、SOL等多種代幣，跨多條區塊鏈。
Nobitex回應：
- 確認部分熱錢包遭未授權訪問，但強調冷錢包資產安全。
- 聲稱部分轉帳為「安全團隊主動遷移」，並封鎖伺服器外部存取路徑。
鏈上分析：
- MistTrack統計顯示，攻擊者在TRON完成逾11萬筆USDT交易，其他鏈如BSC、Ethereum等亦有大量代幣被盜。
- 惡意地址已被列入監控名單，持續追蹤資金流向。
安全建議：
- 嚴格隔離冷熱錢包權限，定期審計。
- 採用即時監控系統（如MistEye）與反洗錢工具（如MistTrack）。
- 強化緊急應變機制，縮短攻擊應對窗口。
後續進展：事件仍在調查中，慢霧團隊將持續更新。

作者：Lisa & 23pds

編輯：Sherry

2025 年6 月18 日，鏈上偵探ZachXBT 揭露，伊朗最大的加密交易平台Nobitex 疑似遭遇駭客攻擊，涉及多條公鏈的大額資產異常轉移。

 (https://t.me/investigations)

慢霧(SlowMist) 進一步確認，事件中受影響資產涵蓋TRON、EVM 及BTC 網絡，初步估算損失約8,170 萬美元。

 (https://x.com/slowmist_team/status/1935246606095593578)

Nobitex 也發佈公告確認，部分基礎設施和熱錢包確實遭遇未授權訪問，但強調用戶資金安全無虞。

 (https://x.com/nobitexmarket/status/1935244739575480472)

值得注意的是，攻擊者不僅轉移了資金，還主動將大量資產轉入特製銷毀地址，被「燒毀」的資產價值近1 億美元。

 (https://x.com/GonjeshkeDarand/status/1935412212320891089)

6 月18 日

ZachXBT 揭露伊朗加密交易所Nobitex 疑似遭遇駭客攻擊，在TRON 鏈上發生大量可疑出金交易。慢霧(SlowMist) 進一步確認攻擊涉及多條鏈，初步估算損失約8,170 萬美元。
Nobitex 表示，技術團隊偵測到部分基礎設施與熱錢包遭到非法訪問，已立即切斷外部介面並啟動調查。絕大多數資產存放在冷錢包中未受影響，此次入侵僅限於其用於日常流動性的部分熱錢包。
駭客組織Predatory Sparrow (Gonjeshke Darande) 宣稱對此次攻擊負責，並宣告將在24 小時內公佈Nobitex 原始碼和內部資料。

 (https://x.com/GonjeshkeDarand/status/1935231018937536681)

6 月19 日

Nobitex 發布第四號聲明，表示平台已徹底封鎖伺服器外部存取路徑，熱錢包轉帳系「安全團隊為保障資金所做的主動遷移」。同時，官方確認被盜資產被轉移到一些由任意字元組成的非標準地址的錢包中，這些錢包被用來銷毀用戶資產，總計約1 億美元。
駭客組織Predatory Sparrow (Gonjeshke Darande) 宣稱已燒毀價值約9,000 萬美元的加密資產，並稱其為「制裁規避工具」。
駭客組織Predatory Sparrow (Gonjeshke Darande) 公開Nobitex 原始碼。

 (https://x.com/GonjeshkeDarand/status/1935593397156270534)

根據攻擊者放出來的源碼訊息，得到資料夾資訊如下：

具體來說，涉及下列內容：

Nobitex 的核心系統主要採用Python 編寫，並使用K8s 進行部署與管理。結合已知訊息，我們猜測攻擊者可能是突破了維運邊界，從而進入內網，此處暫不展開分析。

攻擊者使用了多個看似合法、實則不可控的「銷毀地址」接收資產，這些地址多數符合鏈上地址格式校驗規則，能夠成功接收資產，但一旦資金轉入，即等於永久銷毀，同時，這些地址還帶有情緒性、挑釁性詞彙，具有攻擊意味。攻擊者使用的部分「銷毀地址」如下：

我們使用鏈上反洗錢與追蹤工具MistTrack 進行分析，Nobitex 的損失不完全統計如下：

根據MistTrack 分析，攻擊者在TRON 上完成了110,641 筆USDT 交易和2,889 筆TRX 交易：

攻擊者盜取的EVM 鏈主要包括BSC、Ethereum、Arbitrum、Polygon 以及Avalanche，除了每個生態的主流幣種，還包含UNI、LINK、SHIB 等多種代幣。

在Bitcoin 上，攻擊者總共盜取18.4716 BTC，約2,086 筆交易。

在Dogechain 上，攻擊者總共盜取39,409,954.5439 DOGE，約34,081 筆交易。

在Solana 上，攻擊者盜取SOL、WIF 和RENDER：

在TON、Harmony、Ripple 上，攻擊者分別竊取3,374.4 TON、35,098,851.74 ONE 和373,852.87 XRP：

MistTrack 已將相關位址加入惡意位址庫，並將持續關注相關鏈上動向。

Nobitex 事件再次提醒產業：安全是一個整體，平台需進一步強化安全防護，採用更先進的防禦機制，特別是對於使用熱錢包進行日常運營的平台而言，慢霧(SlowMist) 建議：