Un pirate informatique pro-israélien publie le code source de Nobitex après des failles de sécurité dans les réseaux BTC et XRP

Un collectif de pirates informatiques pro-israélien a tenu sa promesse de publier l'intégralité du code source de Nobitex, la plus grande plateforme d'échange de cryptomonnaies d'Iran, au lendemain d'une attaque de grande ampleur sur la blockchain impliquant plus de 100 millions de dollars d'actifs numériques. 

Le groupe connu sous le nom de Gonjeshke Darande, également appelé Predatory Sparrow, a publié jeudi un message sur la plateforme de médias sociaux X confirmant la diffusion des données internes de Nobitex. 

«C’est terminé, le code source complet est disponible ci-dessous. LES RESSOURCES RESTANTES CHEZ NOBITEX SONT DÉSORMAIS PUBLIQUES», pouvait-on lire dans la publication.

Un pirate informatique publie un script blockchain après une faille de sécurité de 100 millions de dollars

La fuite, publiée sur un forum X, comprenait des éléments de l'infrastructure de la plateforme, tels que des scripts blockchain, des configurations de confidentialité internes et une liste de serveurs. Selon les analystes en cybersécurité, cette divulgation compromet gravementripplesécurité du système de Nobitex, rendant ainsi les actifs restants sur la plateforme vulnérables à de nouvelles attaques.

Le temps est écoulé – le code source complet est disponible ci-dessous.

LES ACTIFS LAISSÉS DANS NOBITEX SONT MAINTENANT ENTIÈREMENT À L’AIR LIBRE.
Il s'agit d'une entreprise qui s'est occupée de vous et de votre famille.

Mais avant cela, découvrons Nobitex de l'intérieur :

Déploiement d'Exchange (1/8) pic.twitter.com/jiMfBpNXwd

– Gonjeshke Darande (@GonjeshkeDarand) 19 juin 2025

La publication du code source fait suite aux menaces proférées la veille, lorsque le groupe a revendiqué la responsabilité d'une attaque coordonnée sur plusieurs réseaux blockchain. 

Selon le communiqué, la motivation du groupe découlait du rôle présumé de Nobitex dans l'aide apportée au gouvernement iranien pour contourner les sanctions internationalesde prédilection du régime les sanctions outil

Le groupe Predatory Sparrow a revendiqué d'autres cyberattaques ces derniers jours, dont une visant la banque publique iranienne Sepah. 

100 millions de dollars en cryptomonnaies brûlés, pas volés

Mercredi, les sociétés d'analyse de la blockchain Chainalysis et Elliptic ont confirmé qu'environ 100 millions de dollars d'actifs cryptographiques, dont BitcoinEthereumEthereum EthereumEthereumEthereumEthereum EthereumEthereumDogecoinDogecoin DogecoinDogecoinXRPTronTron TronTronDogecoinDogecoin DogecoinDogecoinSolanaSolana SolanaSolanaSolanaSolana SolanaSolana, TronTron TronTronet Toncoin, avaient été touchés par le vol. 

Selon Andrew Fierman, responsable du renseignement en matière de sécurité nationale chez Chainalysis, les actifs volés ont été envoyés vers des portefeuilles jetables, des adresses cryptographiques auxquelles les attaquants ne peuvent pas accéder. 

Les analystes estiment que les fonds n'ont pas été volés dans un but lucratif, mais plutôt détruits pour envoyer un message politique. «Le mobile du vol de ces plus de 90 millions de dollars est tout autre que le gain financier», a déclaré Fierman, qualifiant l'acte de symbolique et de destructeur.

L'analyse d'Elliptic soutient également cette interprétation, en relevant l'utilisation de portefeuilles numériques aux noms provocateurs tels que « 1FuckiRGCTerroristsNoBiTEXXXaAovLX » et « DFuckiRGCTerroristsNoBiTEXXXWLW65t ». Ces adresses semblent avoir été créées à l'aide de générateurs de force brute et ne possèdent pas de clés privées récupérables, probablement dans le but délibéré de rendre les fonds irrécupérables.

Yehor Rudytsia, chercheur en sécurité chez Hacken, une entreprise spécialisée dans la blockchain, a déclaré que le choix des adresses de portefeuilles utilisées lors de l'attaque était plus « politique » qu'un vol financier classique. 

«Les noms inscrits sur les portefeuilles et le comportement des utilisateurs suggèrent une prise de position politique plutôt qu'un vol à motivation financière», a déclaré Rudytsia.

Il a ajouté que la plupart des actifs, soit plus de 20 jetons différents sur des chaînes compatibles avec l'EVM, avaient été transférés vers des adresses de destruction de jetons propres. «Seul Tether offre une possibilité de récupération partielle : il pourrait réémettre les 55 millions de dollars d'USDT volés», a-t-il expliqué.

Nobitex a réagi jeudi à la fuite de données, indiquant qu'aucune perte supplémentaire n'avait été constatée. La plateforme a annoncé son intention de rétablir ses services sous cinq jours, même si les perturbations persistantes d'Internet en Iran pourraient ralentir les opérations de rétablissement.

Échange lié à des groupes militaires et militants iraniens

Le pirate informatique a affirmé que Nobitex était lié au Corps des gardiens de la révolution islamique (CGRI) iranien, une organisation militaire désignée comme entité terroriste par les États-Unis, le Royaume-Uni, l'Union européenne et le Canada. 

Des recherches menées par Elliptic ont précédemment établi un lien entre Nobitex et des opérateurs de ransomware sanctionnés pour leurs liens avec le Corps des gardiens de la révolution islamique (IRGC), ainsi que des individus ayant des liens étroits avec le guide suprême iranien, l'ayatollah Ali Khamenei.

Les données de la blockchain montrent également une activité transactionnelle entre les portefeuilles Nobitex et des comptes liés à des groupes tels que le Hamas, le Jihad islamique palestinien et le mouvement houthi du Yémen.