Nhóm hacker ủng hộ Israel phát hành mã nguồn nền tảng Nobitex sau vụ xâm nhập có phần thưởng khủng
Nhóm hacker mang tên Gonjeshke Darande, còn gọi là Predatory Sparrow, mới đây đã tiến hành công bố toàn bộ mã nguồn của Nobitex, sàn giao dịch tiền điện tử lớn nhất Iran. Chỉ trong 24 giờ kể từ khi thực hiện một cuộc tấn công blockchain phức tạp với tổng giá trị hơn 100 triệu USD, nhóm này đã để lộ dữ liệu nội bộ của nền tảng. Sự kiện này đã gây chấn động cộng đồng tiền điện tử khu vực Trung Đông và thế giới.
Tiết lộ nguồn mã sau vụ tấn công vào 100 triệu USD tiền điện tử
Trong bài đăng trên nền tảng mạng social X, nhóm Gonjeshke Darande xác nhận đã phát hành mã nguồn của Nobitex, bao gồm các thành phần quan trọng như script blockchain, cấu hình riêng tư nội bộ và danh sách các máy chủ. Thông báo cho biết, các tài sản còn lại trong sàn hiện đã hoàn toàn phơi bày công khai. Điều này khiến các nhà phân tích an ninh mạng cảnh báo rằng, hoạt động này đã vô hiệu hóa phần lớn bảo mật back-end của Nobitex, mở ra khả năng tấn công tiếp theo nhằm vào các khoản tiền còn sót lại.
Thời của bạn đã hết – mã nguồn đầy đủ đã được liên kết phía dưới.
Các tài sản còn lại trong Nobitex hiện đã hoàn toàn lộ diện.
Trước đó, nhóm hacker đã gồm những hành động phối hợp tấn công qua nhiều mạng blockchain nhằm nhằm gây rối loạn và chứng minh khả năng xâm nhập của mình.
— Gonjeshke Darande (@GonjeshkeDarand) 19 tháng 6 năm 2025
Hành động lan truyền mã nguồn của nhóm Gonjeshke Darande không chỉ là một đòn thách thức trực tiếp đối với nền tảng Nobitex, mà còn thể hiện rõ ràng mối liên hệ với một loạt hoạt động tấn công mạng trước đó. Nhóm này đã cáo buộc Nobitex có vai trò tiếp tay cho chính phủ Iran trong việc vượt qua các lệnh trừng phạt quốc tế, mô tả sàn là “công cụ vi phạm trừng phạt yêu thích của chế độ”.
Hơn 100 triệu USD tiền điện tử bị tiêu hủy, không bị đánh cắp
Trong ngày thứ 4, các công ty phân tích blockchain như Chainalysis và Elliptic xác nhận ước tính khoảng 100 triệu USD giá trị tiền điện tử, gồm Bitcoin, Ethereum, XRP, Dogecoin, Solana, Tron, và Toncoin, đã bị ảnh hưởng trong vụ tấn công. Andrew Fierman, trưởng bộ phận phân tích an ninh quốc gia của Chainalysis, cho biết các tài sản bị đánh cắp đã bị gửi tới các địa chỉ ví “burner”, tức các địa chỉ không thể truy cập được bằng private key. Thay vì mục đích kiếm lời, nguồn tiền này có thể đã bị tiêu hủy nhằm gửi đi một thông điệp chính trị rõ ràng.
Chuyên gia phân tích cũng nhận định rằng, việc sử dụng các địa chỉ ví theo kiểu “lòe loẹt” như “1FuckiRGCTerroristsNoBiTEXXXaAovLX” và “DFuckiRGCTerroristsNoBiTEXXXWLW65t” cho thấy ý đồ phá hoại mang tính biểu tượng hơn là lợi ích tài chính. Các địa chỉ này thường được tạo bằng các công cụ brute-force, không có private keys khả dụng để hồi phục.
Yehor Rudytsia, nhà nghiên cứu an ninh tại Hacken, cho biết rằng các địa chỉ ví được lựa chọn với mục đích chính trị nhiều hơn so với các vụ trộm thông thường. Ông nhấn mạnh rằng, phần lớn các Token – hơn 20 loại khác nhau trên các chuỗi EVM-compatible – đã được gửi đến các địa chỉ “burner” hợp lệ, không thể truy hồi được, ngoại trừ một phần USDT trị giá khoảng 55 triệu USD có khả năng tái phát hành bởi Tether.
Nobitex đã phản hồi về vụ việc, cho biết không còn thiệt hại thêm nào xảy ra sau khi dữ liệu bị rò rỉ. Sàn dự kiến sẽ phục hồi dịch vụ trong vòng năm ngày, mặc dù việc Internet tại Iran vẫn còn nhiều gián đoạn có thể làm chậm quá trình này.
Nền tảng liên kết với quân đội Iran và các nhóm khủng bố
Nhóm hacker đã cáo buộc Nobitex có liên hệ với Quân đoàn cách mạng Hồi giáo Iran (IRGC), tổ chức quân sự bị Hoa Kỳ, Anh, EU và Canada xem là nhóm khủng bố. Các dữ liệu phân tích từ Elliptic cho thấy, Nobitex từng bị liên quan đến hoạt động ransomware của các nhóm bị Hoa Kỳ trừng phạt, có mối liên hệ trực tiếp hoặc gián tiếp với giới lãnh đạo cao nhất Iran, bao gồm cả Ayatollah Khamenei.
Blockchain còn cung cấp bằng chứng về các hoạt động giao dịch giữa ví Nobitex và các nhóm khủng bố như Hamas, Islamic Jihad của Palestine hay nhóm Houthi của Yemen. Thông tin này tiếp tục làm rõ mối liên hệ phức tạp giữa sàn giao dịch tiền điện tử Iran và các hoạt động bất hợp pháp của nhà nước này.
