کالبدشکافی هک صرافی نوبیتکس | بزرگ‌ترین سرقت رمزارزی صرافی در ایران

۱۰ خرداد ۱۴۰۵

برای یک سرمایه‌گذار در بازار ارزدیجیتال، هیچ چیز نگران‌کننده‌تر از این پیام نیست: «برداشت‌ها موقتاً غیرفعال شده‌اند.» متاسفانه این اتفاق برای صرافی نوبیتکس که بزرگ‌ترین صرافی ارزدیجیتال کشور بوده است؛ رخ داد. در این مقاله بررسی می‌کنیم هک صرافی نوبیتکس چگونه اتفاق افتاد؟ هکرها چه هدفی داشتند و چگونه توانستند بزرگترین سرقت ارزدیجیتال در ایران را رقم بزنند؟ آیا هکرها توانستند رمزارزهای نوبیتکس را نقد کنند؟

این مطلب صرفاً با هدف اطلاع‌رسانی و تحلیل یک رویداد عمومی منتشر شده است و شامل هیچ‌گونه توصیه، قضاوت، اتهام یا حمایت از اشخاص حقیقی یا حقوقی نمی‌باشد. میهن سیگنال در این گزارش موضع‌گیری خاصی نسبت به نهادها یا افراد مرتبط اتخاذ نکرده است.

کابوس ۱۸ ژوئن صرافی های ارزدیجیتال ایرانی

در خرداد ۱۴۰۴، صرافی نوبیتکس، به‌عنوان بزرگ‌ترین صرافی ارزدیجیتال ایران، هدف یک حمله بزرگ سایبری قرار گرفت. اما این فقط یک دزدی ساده نبود، بلکه حمله‌ای سیاسی و برنامه‌ریزی‌شده بود که توسط گروه هکتیویستی طرفدار رژیم صهیونیستی به نام «گنجشک درنده» انجام شد.

چرا نوبیتکس هدف اصلی بود؟

نوبیتکس نقش بسیار مهمی در اقتصاد دیجیتال ایران داشت، به‌ویژه در شرایطی که کشور تحت تحریم‌های شدید بین‌المللی قرار دارد. بیش از ۱۱ میلیارد دلار تراکنش در این صرافی ثبت شده بود و میلیون‌ها ایرانی (تقریباً بین ۷ تا ۱۱ میلیون نفر) برای حفظ ارزش دارایی‌های خود در برابر تورم و برای دسترسی به بازارهای جهانی از آن استفاده می‌کردند. بنابراین، این حمله تنها به یک شرکت آسیب نزد، بلکه ضربه‌ای به میلیون‌ها کاربر ایرانی و ثبات مالی کشور وارد کرد.

برخلاف هک‌های دیگر که فقط به‌دنبال دزدیدن رمزارز هستند، این حمله هدف سیاسی داشت. مهاجمان ادعا کردند که نوبیتکس به دولت و نیروهای نظامی ایران کمک می‌کرد تا تحریم‌ها را دور بزنند و فعالیت‌های غیرمجاز را تأمین مالی کنند. آن‌ها رمزارزهای دزدیده‌شده از نوبیتکس را عمداً از بین بردند تا به اقتصاد ایران و اعتبار نوبیتکس آسیب وارد کنند. این حمله درست بعد از حملات سایبری به بانک سپه رخ داد. این زمان‌بندی نشان می‌دهد که حمله به نوبیتکس بخشی از یک درگیری دیجیتال گسترده بین ایران و رژیم صهیونیستی بوده است.

استفاده از بلاک‌چین برای حمله سیاسی

یکی از عجیب‌ترین بخش‌های این حمله، استفاده از فناوری بلاک‌چین برای ارسال پیام سیاسی بود. هکرها دارایی‌های دزدیده‌شده را به آدرس‌هایی منتقل کردند که در آن‌ها پیام‌هایی ضد نهادهای نظامی ایران به‌صورت واضح نوشته شده بود. چون تراکنش‌های بلاک‌چین دائمی و عمومی هستند، این پیام‌ها برای همیشه در شبکه‌هایی مانند بیت‌کوین، اتریوم و ترون ثبت شدند. درواقع، آن‌ها از بلاک‌چین نه به‌عنوان یک ابزار مالی، بلکه به‌عنوان یک تابلوی تبلیغاتی غیرقابل سانسور استفاده کردند. این روش نوعی عملیات روانی جدید بود که از قدرت بلاک‌چین سو استفاده کردند.

هک نوبیتکس پرتگاه خطرناکی در دنیای حملات سایبری است. این اتفاق نشان داد که در دنیای امروز، پلتفرم‌های مالی دیجیتال می‌توانند به میدان جنگ بین کشورها تبدیل شوند. مهاجمان دنبال سود مالی نبودند، بلکه هدف‌شان ایجاد هرج‌ومرج، تخریب اعتماد و رساندن یک پیام سیاسی بلندمدت بود.

برای کشورهایی مثل ایران که به صرافی‌های متمرکز در شرایط تحریم وابسته هستند، این حمله نشان‌دهنده آسیب‌پذیری‌های عمیق است. در نهایت، خسارت اصلی فقط از بین رفتن میلیون‌ها دلار نبود، بلکه از بین رفتن اعتماد کاربران و شروع دوره‌ای تازه از جنگ‌های دیجیتال بود.

کالبدشکافی حمله: عملیات چندمرحله‌ای علیه نوبیتکس

حمله به نوبیتکس در خرداد ۱۴۰۴ تنها یک نفوذ ساده نبود، بلکه یک عملیات چندلایه، دقیق و کاملاً هدفمند بود که با تخلیه کیف‌پول‌های گرم آغاز شد، سپس با تهدیدهای عمومی ادامه یافت و در نهایت به افشای کامل کد منبع پلتفرم منجر شد. منبع

داده های arkm نشان میدهد حساب های نوبیتکس قبل از هک شدن حداقل 200 میلیون دارایی داشته اند

داده های arkm نشان میدهد حساب های نوبیتکس قبل از هک شدن حداقل ۲۰۰ میلیون دارایی داشته اند

جزئیات اطلاعات حمله (براساس منابع معتبر فنی):

در این حمله، مهاجمان موفق شدند با دسترسی غیرمجاز به کیف‌پول‌های گرم نوبیتکس، بین ۹۰ تا ۱۰۰ میلیون دلار از دارایی کاربران را که شامل رمزارزهایی مانند بیت‌کوین، اتریوم، دوج‌کوین، ریپل، سولانا، ترون و تون کوین بود، به آدرس‌هایی غیرقابل بازیابی منتقل کنند. به‌عبارت دیگر، این دارایی‌ها عملاً «سوزانده شدند» و قابل بازگردانی نیستند. طبق الگوریتمی که نوبیتکس داشت، برای تراکنش های بالا باید اجازه اپراتور قبل از تراکنش داده میشد؛ لذا هکرها با ریز کردن مبلغ و تعداد تراکنش های بالا توانستند مبلغ قابل توجهی رابدون نظارت مسئولین نوبیتکس از صرافی خارج کنند.

در ادامه حمله، فایل‌هایی شامل کد منبع، لیست سرورها و تنظیمات امنیتی نوبیتکس نیز به‌صورت عمومی منتشر شد که میتواند باعث آسیب پذیری های بیشتری در آینده شود.

برداشت ها از حساب نوبیتکس به آدرس جعلی برای سوزانده شدن دارایی ها

خط زمانی حمله (۴۸ ساعت بحرانی)

صبح زود ۲۸ خرداد: تحلیل‌گران زنجیره‌ای مانند ZachXBT و TRM Labs جریان مشکوک خروج دارایی‌ها را شناسایی کردند. منبع
صبح همان روز: گروه مهاجم مسئولیت حمله را به‌طور عمومی پذیرفت و تهدید به انتشار کد منبع کرد. منبع
ظهر: نوبیتکس حمله را تأیید کرد و اعلام کرد که دارایی‌های دزدیده‌شده از کیف‌پول‌های گرم از طریق صندوق ذخیره نوبیتکس جبران می‌شوند. پلتفرم به‌طور موقت غیرفعال شد. منبع
۲۹ خرداد: فایل حاوی کد منبع نوبیتکس منتشر شد. مهاجمان اعلام کردند که حدود ۹۰ میلیون دلار را سوزانده‌اند . منبع

شناخت تیم مهاجم: گنجشک درنده

این گروه نه یک گروه ساده هکتیویستی، بلکه یک تهدید پیچیده و حرفه‌ای است که تمرکز آن روی زیرساخت‌های حیاتی ایران بوده و حملاتی با ابعاد ملی انجام داده است. برخی از حملات قبلی آن‌ها:

مهر ۱۴۰۰: هک کردن سیستم توزیع سوخت کشور منبع
خرداد ۱۴۰۱: حمله به کارخانه فولاد ایران که منجر به آتش‌سوزی شد منبع
۲۷ خرداد ۱۴۰۴: حمله سایبری به بانک سپه منبع

رسانه‌های رژیم صهیونیستی بارها این گروه را به نهادهای سایبری اسرائیل مرتبط دانسته‌اند.

واکنش صرافی نوبیتکس

پس از وقوع حمله سایبری گسترده به نوبیتکس در تاریخ ۲۸ خرداد ۱۴۰۴، این صرافی در واکنشی سریع و گام‌به‌گام تلاش کرد با اطلاع‌رسانی شفاف، اطمینان‌بخشی به کاربران، و اجرای اقدامات امنیتی، بحران را مدیریت کند. در ساعات ابتدایی، تیم فنی نوبیتکس دسترسی‌های غیرمجاز به کیف‌پول گرم را شناسایی و بلافاصله تمامی سرورها را از شبکه خارج کرد و دارایی‌ها را به کیف‌پول‌های سرد منتقل نمود. نوبیتکس مسئولیت کامل حادثه را پذیرفت و اعلام کرد تمام خسارات از صندوق ذخیره آن جبران می‌شود.

در اطلاعیه‌های بعدی، این صرافی ضمن هشدار به کاربران برای خودداری از واریز رمزارز به آدرس‌های قبلی، اعلام کرد که حمله نه‌تنها مالی، بلکه ماهیتی متفاوت داشته و هدف آن تخریب زیرساخت و ایجاد هراس در میان کاربران بوده است. همچنین تأکید شد که بخشی از دارایی‌ها توسط مهاجمان به آدرس‌های غیرقابل بازیابی منتقل و اصطلاحاً سوزانده شده است. تیم نوبیتکس همچنین از ارتباط مستمر با نهادهای مسئول از جمله پلیس فتا خبر داد و تأکید کرد که دارایی‌های کاربران محفوظ مانده و مسیر انتقال‌ها در بلاک‌چین شفاف است.

با گذشت یک روز، نوبیتکس در اطلاعیه‌ای جدید تأیید کرد که ابعاد حمله پیچیده‌تر از برآورد اولیه بوده اما همچنان در مسیر بازسازی زیرساخت‌ها و بازگرداندن دسترسی کاربران به پلتفرم به‌صورت مرحله‌ای پیش می‌رود. شرایط اینترنت و محدودیت‌های فنی نیز از چالش‌های جدی این فرآیند عنوان شد. در نهایت، مدیرعامل نوبیتکس با یک پیام ویدیویی خطاب به کاربران، ضمن تشکر از صبوری آن‌ها، وعده داد که با تعهد کامل به امنیت، خدمات به‌زودی از سر گرفته خواهد شد. این مجموعه اقدامات، تلاش نوبیتکس برای بازیابی اعتماد عمومی و ادامه فعالیت در شرایطی پرتنش را نمایان می‌سازد.

اطلاع رسانی رسمی نوبیتکس در تلگرامش

نوبیتکس چگونه از بحران هک ۱۴۰۴ عبور کرد؟

بروزرسانی خرداد ۱۴۰۵: اکنون حدود یک سال از حمله سایبری گسترده به نوبیتکس می‌گذرد. بررسی روند بازیابی خدمات نشان می‌دهد این صرافی توانست بخش قابل توجهی از تعهدات خود در قبال کاربران را عملی کند و دارایی‌های از دست رفته را جبران نماید.

پس از وقوع این حادثه ابتدا امکان انجام معاملات دوباره فعال شد. در مرحله بعد موجودی حساب کاربران بازیابی شد و سپس خدمات واریز و برداشت ارزدیجیتال نیز به حالت عادی بازگشت. این روند چند مرحله‌ای باعث شد کاربران به تدریج دوباره به دارایی‌های خود دسترسی پیدا کنند.

یکی از مهم‌ترین نگرانی‌های کاربران پس از هک نوبیتکس احتمال از بین رفتن سرمایه‌ها بود. با این حال اقدامات جبرانی انجام‌شده و بازگشت کامل خدمات نشان داد این صرافی توانسته از یکی از بزرگ‌ترین بحران‌های تاریخ فعالیت خود عبور کند.

همچنین بررسی بازخوردهای کاربران در شبکه‌های اجتماعی و انجمن‌های مرتبط با ارزدیجیتال نشان می‌دهد بخش زیادی از کاربران معتقدند نوبیتکس در نهایت به وعده‌های اعلام‌شده خود عمل کرده و خسارت‌های واردشده را جبران کرده است.

پیامدهای هک نوبیتکس: بحران، کنترل و آسیب‌های جانبی

در پی این حمله سایبری با وجود تلاش‌های اولیه نوبیتکس برای مدیریت بحران و جبران خسارت‌ها، انتشار کد منبع صرافی آسیب بزرگی به اعتماد کاربران وارد کرد و خطر حملات بعدی را افزایش داد. در این میان، کاربران عادی بیشترین آسیب را دیدند و اکنون میان صرافی‌های داخلی آسیب‌پذیر، پلتفرم‌های خارجی پرریسک و بازگشت به ریال، سردرگم مانده‌اند. این رویداد نشان داد که بدون تقویت زیرساخت‌ها، شفافیت بیشتر و حمایت هوشمندانه، اعتماد به اقتصاد دیجیتال داخلی به‌سختی بازخواهد گشت.

بروزرسانی: اگرچه حادثه نوبیتکس یکی از بزرگ‌ترین شوک‌های امنیتی بازار ارزدیجیتال ایران بود اما فعالیت صرافی‌های داخلی پس از آن ادامه پیدا کرد و بحث امنیت و اثبات ذخایر بیش از گذشته مورد توجه کاربران قرار گرفت.

هک نوبیتکس؛ مهم‌ترین درس امنیتی تاریخ ارزدیجیتال ایران

هک نوبیتکس را می‌توان یکی از مهم‌ترین رخدادهای تاریخ بازار ارزدیجیتال ایران دانست. این حمله تنها به دلیل حجم دارایی‌های از دست رفته یا انتشار بخشی از زیرساخت‌های فنی مورد توجه قرار نگرفت، بلکه نشان داد حتی بزرگ‌ترین بازیگران بازار نیز در برابر حملات پیچیده سایبری مصون نیستند.

اگرچه مهاجمان موفق شدند بخشی از دارایی‌های موجود در کیف پول‌های گرم را خارج کنند اما روند بازیابی خدمات و جبران خسارت کاربران باعث شد این حادثه به یک آزمون بزرگ برای مدیریت بحران در صنعت ارزدیجیتال ایران تبدیل شود. اتفاقی که در روزهای نخست نگرانی گسترده‌ای میان کاربران ایجاد کرد اما در ادامه به یکی از مهم‌ترین تجربه‌های امنیتی این صنعت تبدیل شد.

این رویداد چند درس مهم برای صرافی‌های ارزدیجیتال به همراه داشت. نخست اینکه نگهداری بخش عمده دارایی‌ها در کیف پول‌های سرد و محدود کردن موجودی کیف پول‌های گرم باید در اولویت قرار گیرد. دوم اینکه کنترل‌های امنیتی چندلایه، پایش مداوم تراکنش‌ها، تست‌های نفوذ دوره‌ای و برنامه‌های واکنش به بحران نباید فقط روی کاغذ باقی بمانند. همچنین شفافیت در اطلاع‌رسانی و سرعت واکنش در زمان وقوع حادثه نقش مهمی در حفظ اعتماد کاربران دارد.

از سوی دیگر، این حادثه برای کاربران نیز یادآور یک اصل مهم بود: صرافی محل معامله است و نه لزوماً محل نگهداری بلندمدت دارایی. هرچند صرافی‌های معتبر تلاش می‌کنند از دارایی کاربران محافظت کنند اما نگهداری سرمایه‌های بلندمدت در کیف پول‌های شخصی همچنان یکی از مهم‌ترین توصیه‌های امنیتی در بازار ارزدیجیتال محسوب می‌شود.

اکنون که حدود یک سال از این حادثه گذشته است، هک نوبیتکس بیش از آنکه به عنوان یک بحران به یاد آورده شود، به عنوان یک تجربه مهم امنیتی برای کل اکوسیستم ارزدیجیتال ایران شناخته می‌شود؛ تجربه‌ای که اهمیت مدیریت ریسک، شفافیت و آمادگی در برابر حملات سایبری را بیش از گذشته آشکار کرد.

هشدار مهم به کاربران نوبیتکس: لطفاً توجه داشته باشید که تنها مرجع رسمی برای پیگیری و بازگشت دارایی‌ها، خود صرافی نوبیتکس است. هرگونه ادعا از سوی افراد یا کانال‌های غیررسمی درباره بازگرداندن رمزارزهای سرقت‌شده، جعلی و با هدف سوءاستفاده است.

سخن پایانی

ماجرای هک نوبیتکس فقط یک حمله معمولی نبود؛ بلکه نشانه‌ای روشن از آغاز دورانی جدید در جنگ‌های دیجیتال بود که در آن مرز میان فناوری، اقتصاد و سیاست کاملاً محو شده است. هدف مهاجمان کسب سود مالی نبود، بلکه می‌خواستند یک صرافی را به‌طور نمادین نابود کنند و کاربرانش را بترسانند. این حمله نشان داد که صرافی‌های متمرکز در کشورهایی مانند ایران، با وجود نقش حیاتی‌شان برای مردم، به دلیل تحریم‌ها از ابزارهای امنیتی پیشرفته محروم مانده و آسیب‌پذیر شده‌اند.

نظرتان را درباره‌ی مقاله «کالبدشکافی هک صرافی نوبیتکس | بزرگ‌ترین سرقت رمزارزی صرافی در ایران» با ما درمیان بگذارید.