Pro-israelischer Hacker veröffentlicht Nobitex-Quellcode nach Sicherheitslücken in Bitcoin und XRP

Ein pro-israelisches Hacker-Kollektiv hat sein Versprechen eingelöst und den vollständigen Quellcode von Nobitex, Irans größter Kryptowährungsbörse, veröffentlicht – nur einen Tag nachdem es einen aufsehenerregenden Blockchain-Angriff mit einem Diebstahl von digitalen Vermögenswerten im Wert von über 100 Millionen Dollar durchgeführt hatte. 

Die Gruppe Gonjeshke Darande, auch bekannt als Predatory Sparrow, veröffentlichte am Donnerstag einen Beitrag auf der Social-Media-Plattform X, in dem sie die Veröffentlichung interner Daten von Nobitex bestätigte. 

„Die Zeit ist um, der vollständige Quellcode ist unten verlinkt. ALLE IN NOBITEX VERBORGENEN ASSETS SIND JETZT VOLLSTÄNDIG ÖFFENTLICH ZUGÄNGLICH“, hieß es in dem Beitrag.

Hacker veröffentlicht Blockchain-Skript nach Sicherheitslücke im Wert von 100 Millionen Dollar

Das in einem X-Thread veröffentlichte Leck enthielt Komponenten der Plattforminfrastruktur, darunter Blockchain-Skripte, interne Datenschutzeinstellungen und eine Serverliste. Cybersicherheitsexperten zufolge beeinträchtigt diese OffenlegungrippleBackend-Sicherheit von Nobitex massiv und macht alle verbleibenden Vermögenswerte auf der Börse anfällig für weitere Angriffe.

Die Zeit ist um – der vollständige Quellcode ist unten verlinkt.

Die in NOBITEX verbliebenen Vermögenswerte liegen nun vollständig offen.
Es ist nicht einfach, vor mehr als einem Jahr eine Woche lang zu arbeiten

Doch zuvor lernen wir Nobitex von innen kennen:

Exchange-Bereitstellung (1/8) pic.twitter.com/jiMfBpNXwd

— Gonjeshke Darande (@GonjeshkeDarand) 19. Juni 2025

Mit der Veröffentlichung des Quellcodes werden die Drohungen vom Vortag umgesetzt, als die Gruppe die Verantwortung für einen koordinierten Angriff auf mehrere Blockchain-Netzwerke übernahm. 

Laut der Erklärung rührte die Motivation der Gruppe von der mutmaßlichen Rolle von Nobitex bei der Unterstützung der iranischen Regierung zur Umgehung internationaler Sanktionen. Sie bezeichneten die Börse als „das bevorzugte Instrument des Regimes Sanktionskontrolle “.

Die Gruppe Predatory Sparrow hat sich in den letzten Tagen zu weiteren Cyberangriffen bekannt, darunter einem Angriff auf die iranische Staatsbank Sepah. 

Kryptowährung im Wert von 100 Millionen Dollar verbrannt, nicht gestohlen

die Blockchain-Analyseunternehmen Chainalysis und Elliptic, bestätigten dass bei dem Raubüberfall Krypto-Assets im Wert von rund 100 Millionen US-Dollar betroffen waren, darunter BitcoinEthereumEthereum EthereumEthereumEthereumEthereum EthereumEthereumDogecoinDogecoin DogecoinDogecoinXRPTronTron TronTronDogecoinDogecoin DogecoinDogecoinSolanaSolana SolanaSolanaSolanaSolana SolanaSolana, TronTron TronTronund Toncoin. 

Laut Andrew Fierman, dem Leiter der Abteilung für nationale Sicherheitsaufklärung bei Chainalysis, wurden die gestohlenen Vermögenswerte an sogenannte Burner Wallets gesendet, also an kryptografische Adressen, auf die die Angreifer keinen Zugriff haben. 

Analysten gehen davon aus, dass die Gelder nicht gestohlen , sondern vernichtet wurden, um ein politisches Signal zu senden. „Das Motiv für den Diebstahl der über 90 Millionen Dollar ist ein anderes als finanzieller Gewinn“, erklärte Fierman und bezeichnete die Tat als symbolisch und destruktiv.

Die Analyse von Elliptic stützt diese Interpretation ebenfalls und verweist auf die Verwendung provokativ benannter Vanity-Wallets wie „1FuckiRGCTerroristsNoBiTEXXXaAovLX“ und „DFuckiRGCTerroristsNoBiTEXXXWLW65t“. Diese Adressen scheinen mit Brute-Force-Generatoren erstellt worden zu sein und verfügen nicht über wiederherstellbare private Schlüssel, was wahrscheinlich ein bewusster Versuch ist, die Gelder unwiederbringlich zu machen.

Yehor Rudytsia, Sicherheitsforscher beim Blockchain-Unternehmen Hacken, sagte, die Wahl der bei dem Angriff verwendeten Wallet-Adressen sei eher „politisch“ motiviert gewesen als ein typischer Finanzdiebstahl. 

„Die Namen der Geldbörsen und das Verhalten lassen eher auf eine politische Aussage als auf einen finanziell motivierten Diebstahl schließen“, sagte Rudytsia.

Er fügte hinzu, dass der Großteil der Vermögenswerte – über 20 verschiedene Token auf EVM-kompatiblen Blockchains – an saubere Burner-Adressen gesendet wurde. „Die einzige Möglichkeit einer teilweisen Wiedererlangung besteht bei Tether, das die gestohlenen USDT im Wert von 55 Millionen US-Dollar neu ausgeben könnte“, erklärte er.

Nobitex reagierte am Donnerstag auf die Entwicklungen und erklärte, dass durch das Datenleck keine weiteren Verluste entstanden seien. Die Börse kündigte an, die Dienste innerhalb von fünf Tagen wiederherzustellen, allerdings könnten anhaltende Internetstörungen im Iran die Wiederherstellungsarbeiten verzögern.

Austausch mit Verbindungen zum iranischen Militär und militanten Gruppen

Der Hacker behauptet, Nobitex stehe in Verbindung mit den Islamischen Revolutionsgarden des Iran (IRGC), einer Militärorganisation, die von den Vereinigten Staaten, Großbritannien, der Europäischen Union und Kanada als terroristische Vereinigung eingestuft wird. 

Recherchen von Elliptic brachten Nobitex bereits mit Ransomware-Akteuren in Verbindung, die wegen Verbindungen zur Revolutionsgarde sanktioniert wurden, sowie mit Personen, die enge Verbindungen zum iranischen Obersten Führer Ayatollah Ali Khamenei pflegen.

Die Blockchain-Daten zeigen auch Transaktionsaktivitäten zwischen Nobitex-Wallets und Konten, die mit Gruppen wie der Hamas, dem Palästinensischen Islamischen Dschihad und der jemenitischen Houthi-Bewegung in Verbindung stehen.