Un hacker proisraelí publica el código fuente de Nobitex tras ataques a BTC y XRP

Un colectivo de hackers pro-Israel cumplió su promesa de publicar el código fuente completo de Nobitex, el mayor exchange de criptomonedas de Irán, apenas un día después de orquestar una explotación de blockchain de alto perfil que involucró más de 100 millones de dólares en activos digitales. 

El grupo conocido como Gonjeshke Darande, también llamado Gorrión Depredador, publicó el jueves un mensaje en la plataforma de redes sociales X confirmando la publicación de los datos internos de Nobitex. 

“Se acabó el tiempo, el código fuente completo está disponible en el enlace de abajo. LOS ACTIVOS QUE QUEDAN EN NOBITEX AHORA ESTÁN COMPLETAMENTE AL ALCANCE DE LA MANO”, decía la publicación.

Un hacker publica un script de blockchain tras un exploit de 100 millones de dólares

La filtración, publicada en un hilo de X, incluía componentes de la infraestructura de la plataforma, como scripts de blockchain, configuraciones internas de privacidad y una lista de servidores. Los analistas de ciberseguridad afirman que la divulgación compromete gravementerippleseguridad de Nobitex, dejando los activos restantes en la plataforma vulnerables a nuevos ataques.

Se acabó el tiempo: el código fuente completo se encuentra en el enlace a continuación.

LOS ACTIVOS DEJADOS EN NOBITEX AHORA ESTÁN COMPLETAMENTE A LA VISTA.
بازمانده دارایی های شما در نوبیتکس هم اکنون در معرض دید و خطر هستند

Pero antes de eso, conozcamos a Nobitex desde dentro:

Implementación de Exchange (1/8) pic.twitter.com/jiMfBpNXwd

– Gonjeshke Darande (@GonjeshkeDarand) 19 de junio de 2025

La publicación del código fuente da seguimiento a las amenazas emitidas un día antes, cuando el grupo se atribuyó la responsabilidad de un ataque coordinado en múltiples redes blockchain. 

Según el comunicado, la motivación del grupo radicaba en el presunto papel de Nobitex al ayudar al gobierno iraní a eludir las sanciones internacionales. Calificaron la plataforma de intercambio como "la herramienta favorita del régimen las sanciones ".

Predatory Sparrow se ha atribuido el mérito de otros ciberataques en los últimos días, incluido uno dirigido contra el banco estatal iraní Sepah. 

100 millones de dólares en criptomonedas quemados, no robados

El miércoles, las empresas de análisis de blockchain Chainalysis y Elliptic confirmaron que aproximadamente 100 millones de dólares en activos criptográficos, incluidos Bitcoin, Ethereum, XRP, Dogecoin, Solana, Trony Toncoin, se vieron afectados en el robo. 

Según el jefe de inteligencia de seguridad nacional de Chainalysis, Andrew Fierman, los activos robados fueron enviados a billeteras desechables, direcciones criptográficas a las que los atacantes no pueden acceder. 

Los analistas creen que los fondos no fueron robados con fines de lucro, sino destruidos para enviar un mensaje político. "El motivo del robo de los más de 90 millones de dólares no es el beneficio económico", afirmó Fierman, calificando el acto de simbólico y destructivo.

El análisis de Elliptic también respalda esta interpretación, señalando el uso de monederos vanidosos con nombres provocativos como "1FuckiRGCTerroristsNoBiTEXXXaAovLX" y "DFuckiRGCTerroristsNoBiTEXXXWLW65t". Estas direcciones parecen haber sido creadas con generadores de fuerza bruta y carecen de claves privadas recuperables, probablemente un intento deliberado de hacer que los fondos sean irrecuperables.

Yehor Rudytsia, investigador de seguridad de la empresa blockchain Hacken, dijo que la elección de las direcciones de billetera utilizadas en el ataque fue más "política" que un robo financiero típico. 

“Los nombres de las carteras y el comportamiento sugieren una declaración política más que un robo con fines económicos”, dijo Rudytsia.

Añadió que la mayoría de los activos, más de 20 tokens diferentes en cadenas compatibles con EVM, se enviaron a direcciones de quema limpias. "La única posibilidad de recuperación parcial reside en Tether, que podría reemitir los 55 millones de dólares en USDT robados", explicó.

Nobitex respondió a los acontecimientos el jueves, afirmando que no se produjeron pérdidas adicionales tras la filtración de datos. La plataforma anunció planes para restablecer los servicios en un plazo de cinco días, aunque las continuas interrupciones de internet en Irán podrían ralentizar los esfuerzos de recuperación.

Intercambio vinculado a grupos militares y militantes iraníes

El hacker afirmó que Nobitex está conectado con el Cuerpo de la Guardia Revolucionaria Islámica de Irán (CGRI), una organización militar designada como entidad terrorista por Estados Unidos, el Reino Unido, la Unión Europea y Canadá. 

Las investigaciones de Elliptic han vinculado anteriormente a Nobitex con operativos de ransomware sancionados por vínculos con el CGRI y con individuos con estrechas afiliaciones al líder supremo de Irán, el ayatolá Ali Khamenei.

Los datos de blockchain también muestran actividad transaccional entre billeteras Nobitex y cuentas conectadas a grupos como Hamás, la Jihad Islámica Palestina y el movimiento Houthi de Yemen.