Un hacker filo-israeliano pubblica il codice sorgente di Nobitex dopo aver sfruttato BTC XRP

Un collettivo di hacker filo-israeliano ha mantenuto la promessa di pubblicare il codice sorgente completo di Nobitex, il più grande exchange di criptovalute dell'Iran, appena un giorno dopo aver orchestrato un exploit blockchain di alto profilo che ha coinvolto oltre 100 milioni di dollari in asset digitali. 

Il gruppo noto come Gonjeshke Darande, anche chiamato Predatory Sparrow, ha pubblicato giovedì un post sulla piattaforma social X confermando la diffusione dei dati interni di Nobitex. 

"Il tempo è scaduto, il codice sorgente completo è disponibile al link sottostante. TUTTE LE RISORSE RIMASTE SU NOBITEX SONO ORA COMPLETAMENTE ALLA PORTATA DI TUTTI", si legge nel post.

Un hacker pubblica uno script blockchain dopo un exploit da 100 milioni di dollari

La fuga di notizie, pubblicata su un thread di X, includeva componenti dell'infrastruttura della piattaforma, come script blockchain, configurazioni interne per la privacy e un elenco di server. Gli analisti di sicurezza informatica affermano che la divulgazione compromette di fattoripplesicurezza del back-end di Nobitex, rendendo vulnerabili a ulteriori attacchi tutti gli asset rimanenti sulla piattaforma.

Il tempo è scaduto: il codice sorgente completo è disponibile al link sottostante.

LE RISORSE LASCIATE IN NOBITEX SONO ORA COMPLETAMENTE ALL'APERTO.
Il tuo business è una questione di soldi e di lavoro

Ma prima di proseguire, conosciamo Nobitex dall'interno:

Distribuzione di Exchange (1/8) pic.twitter.com/jiMfBpNXwd

— Gonjeshke Darande (@GonjeshkeDarand) 19 giugno 2025

La pubblicazione del codice sorgente fa seguito alle minacce diffuse il giorno prima, quando il gruppo si era assunto la responsabilità di un attacco coordinato su più reti blockchain. 

Secondo la dichiarazione, la motivazione del gruppo derivava dal presunto ruolo di Nobitex nell'aiutare il governo iraniano a eludere le sanzioni internazionali. Hanno definito la piattaforma di scambio "lo strumento preferito dal regime le sanzioni ".

Predatory Sparrow si è attribuito la responsabilità di altri attacchi informatici perpetrati negli ultimi giorni, tra cui uno che ha preso di mira la banca statale iraniana Sepah. 

100 milioni di dollari in criptovalute bruciati, non rubati

Mercoledì, le società di analisi blockchain Chainalysis ed Elliptic hanno confermato che circa 100 milioni di dollari in criptovalute, tra cui BitcoinEthereumEthereum EthereumEthereumEthereumEthereum EthereumEthereumDogecoinDogecoin DogecoinDogecoinXRPTronTron TronTronDogecoinDogecoin DogecoinDogecoinSolanaSolana SolanaSolanaSolanaSolana SolanaSolana, TronTron TronTrone Toncoin, sono stati colpiti dal furto. 

Secondo Andrew Fierman, responsabile dell'intelligence per la sicurezza nazionale di Chainalysis, i beni rubati sono stati inviati a portafogli bruciatori, indirizzi crittografici a cui gli aggressori non possono accedere. 

Gli analisti ritengono che i fondi non siano stati rubati a scopo di lucro, ma distrutti per lanciare un messaggio politico. "Il movente del furto di oltre 90 milioni di dollari non è meramente finanziario", ha affermato Fierman, definendo l'atto simbolico e distruttivo.

Anche l'analisi di Elliptic supporta questa interpretazione, evidenziando l'uso di portafogli di vanità dai nomi provocatori come "1FuckiRGCTerroristsNoBiTEXXXaAovLX" e "DFuckiRGCTerroristsNoBiTEXXXWLW65t". Questi indirizzi sembrano essere stati creati con generatori di forza bruta e non dispongono di chiavi private recuperabili, probabilmente un tentativo deliberato di rendere i fondi irrecuperabili.

Yehor Rudytsia, ricercatore in sicurezza presso l'azienda blockchain Hacken, ha affermato che la scelta degli indirizzi wallet utilizzati nell'attacco è stata più "politica" di un tipico furto finanziario. 

"I nomi dei portafogli e il comportamento degli utenti suggeriscono una dichiarazione politica piuttosto che un furto a scopo di lucro", ha affermato Rudytsia.

Ha aggiunto che la maggior parte degli asset, oltre 20 token diversi su blockchain compatibili con EVM, sono stati inviati ad indirizzi di pagamento "puliti". "L'unica possibilità di recupero parziale risiede in Tether, che potrebbe riemettere i 55 milioni di dollari in USDT rubati", ha spiegato.

Nobitex ha risposto agli sviluppi giovedì, affermando che non si sono verificate ulteriori perdite a seguito della fuga di dati. La borsa ha annunciato l'intenzione di ripristinare i servizi entro cinque giorni, sebbene le continue interruzioni di Internet in Iran potrebbero rallentare gli sforzi di recupero.

Scambio collegato a gruppi militari e militanti iraniani

L'hacker ha affermato che Nobitex è collegato al Corpo delle Guardie della Rivoluzione Islamica (IRGC) dell'Iran, un'organizzazione militare designata come entità terroristica da Stati Uniti, Regno Unito, Unione Europea e Canada. 

Le ricerche condotte da Elliptic hanno precedentemente collegato Nobitex ad agenti di ransomware sanzionati per i loro legami con l'IRGC e a individui con stretti legami con la Guida Suprema dell'Iran, l'Ayatollah Ali Khamenei.

I dati della blockchain mostrano anche l'attività transazionale tra i portafogli Nobitex e gli account collegati a gruppi tra cui Hamas, la Jihad islamica palestinese e il movimento Houthi dello Yemen.