Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 237Kompromittierung privater Schlüssel

Nobitex politisch motivierter Burn

Über 90 Mio. $ von Irans größter Börse durch Predatory Sparrow entwendet, dann an Anti-IRGC-Adressen verbrannt — Zerstörungs- statt Profit-Hack.

Datum
Opfer
Nobitex
Chain(s)
BitcoinEthereumTronBNB Chain
Status
Mittel entwendet
Zurechnung
Gonjeshke Darande / Predatory Sparrow

Am 17. Juni 2025 wurde Nobitex — nach Volumen die größte Kryptowährungsbörse im Iran — um mehr als 90 Millionen $ an Kundenvermögen über mindestens vier Chains ausgeplündert. Was den Vorfall besonders machte, war das Ziel der Mittel: Adressen, deren private Schlüssel nachweislich nicht existieren, mit Vanity-Präfixen, die Anti-IRGC-Slogans buchstabieren. Das Geld wurde nicht gestohlen. Es wurde absichtlich zerstört.

Was geschah

Eine Gruppe, die sich Gonjeshke Darande ("Predatory Sparrow") nennt — die Sicherheitsfirmen einschließlich Elliptic wiederholt mit israelischen Staatsagenten in Verbindung gebracht haben — übernahm die Verantwortung. Die Gruppe hat zuvor zerstörerische Operationen gegen iranische Tankstellen, Stahlwerke und Bahnsysteme durchgeführt; dies war ihre erste größere Krypto-Operation.

Der Kompromiss reichte tief in Nobitex' Infrastruktur. Mittel wurden aus Hot Wallets über Bitcoin, Ethereum, Tron und BNB Chain abgezogen. Jedes Stück wurde an eine Vanity-Adresse gesendet, deren Präfix eine schimpfwortgeladene Referenz auf die Islamische Revolutionsgarde enthielt — Adressen, für die plausibel kein privater Schlüssel existieren kann, was bedeutet, dass die Mittel für immer gesperrt sind.

Zwei Tage nach dem Hack leakten die Angreifer Nobitex' gesamten Quellcode, Infrastruktur-Dokumentation und interne F&E und legten die Architektur von Irans Flaggschiff-Krypto-Schienen offen.

Folgen

  • Nobitex pausierte alle Operationen und kündigte an, Nutzer aus internen Reserven und einer kontrollierten Wallet-Migration zu entschädigen.
  • Elliptic und TRM Labs veröffentlichten Analysen des geleakten Quellcodes und dokumentierten, wie Nobitex zur Umgehung von Sanktionen und zur Weiterleitung von Mitteln für sanktionierte Entitäten verwendet worden war.
  • Keine Mittel wurden zurückgewonnen. Keine werden es jemals sein — sie können nicht bewegt werden.

Warum es wichtig ist

Nobitex ist der erste weitgehend dokumentierte Fall eines staatlich angegliederten Hacks, dessen ausdrückliches Ziel Zerstörung statt Profit war. Es ändert das Bedrohungsmodell für Börsen in geopolitisch exponierten Jurisdiktionen grundlegend: Der schlimmste Fall ist nicht mehr nur, Geld zu verlieren, sondern zum Ziel zu werden, dessen Infrastruktur als strategisches Asset geleakt wird.

Quellen & On-Chain-Belege

  1. [01]bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/pro-israel-hackers-hit-irans-nobitex-exchange-burn-90m-in-crypto/
  2. [02]cnbc.comhttps://www.cnbc.com/2025/06/18/pro-israel-hackers-iran-crypto.html
  3. [03]trmlabs.comhttps://www.trmlabs.com/resources/blog/inside-the-nobitex-breach-what-the-leaked-source-code-reveals-about-irans-crypto-infrastructure
  4. [04]halborn.comhttps://www.halborn.com/blog/post/explained-the-nobitex-hack-june-2025

Verwandte Einträge