Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 237Compromiso de clave privada

Quema políticamente motivada en Nobitex

Más de $90 M drenados del mayor exchange de Irán por Predatory Sparrow, luego quemados a direcciones con mensajes anti-IRGC — destrucción, no lucro.

Fecha
Víctima
Nobitex
Cadena(s)
BitcoinEthereumTronBNB Chain
Estado
Fondos robados
Atribución
Gonjeshke Darande / Predatory Sparrow

El 17 de junio de 2025, Nobitex — por volumen el mayor exchange de criptomonedas de Irán — fue drenado por más de $90 millones en activos de clientes a través de al menos cuatro cadenas. Lo que distinguió al incidente fue el destino de los fondos: direcciones cuyas claves privadas demostrablemente no existen, con prefijos vanidosos que deletreaban consignas anti-IRGC. El dinero no fue robado. Fue deliberadamente destruido.

Qué ocurrió

Un grupo que se autodenominaba Gonjeshke Darande ("Predatory Sparrow") — que firmas de seguridad incluidas Elliptic han vinculado repetidamente a operativos del estado israelí — reclamó la responsabilidad. El grupo ha realizado previamente operaciones destructivas contra gasolineras, plantas siderúrgicas y sistemas ferroviarios iraníes; esta fue su primera gran operación cripto.

El compromiso alcanzó profundamente la infraestructura de Nobitex. Los fondos fueron barridos de hot wallets a través de Bitcoin, Ethereum, Tron y BNB Chain. Cada porción fue enviada a una dirección vanidosa cuyo prefijo incluía una referencia obscena al Cuerpo de la Guardia Revolucionaria Islámica — direcciones para las que no puede existir plausiblemente ninguna clave privada, lo que significa que los fondos están bloqueados para siempre.

Dos días después del hackeo, los atacantes filtraron el código fuente completo de Nobitex, la documentación de infraestructura y la I+D interna, exponiendo la arquitectura de los rieles cripto insignia de Irán.

Consecuencias

  • Nobitex pausó todas las operaciones y anunció que compensaría a los usuarios desde reservas internas y una migración controlada de billeteras.
  • Elliptic y TRM Labs publicaron análisis del código fuente filtrado, documentando cómo Nobitex había sido usado para evadir sanciones y enrutar fondos para entidades sancionadas.
  • No se recuperaron fondos. Ninguno será recuperado — no pueden moverse.

Por qué importa

Nobitex es el primer caso ampliamente documentado de un hackeo alineado con un estado cuyo objetivo explícito era la destrucción en lugar del lucro. Cambia fundamentalmente el modelo de amenaza para exchanges en jurisdicciones geopolíticamente expuestas: el peor escenario ya no es solo perder dinero, sino convertirse en un objetivo cuya infraestructura es filtrada como activo estratégico.

Fuentes y evidencia on-chain

  1. [01]bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/pro-israel-hackers-hit-irans-nobitex-exchange-burn-90m-in-crypto/
  2. [02]cnbc.comhttps://www.cnbc.com/2025/06/18/pro-israel-hackers-iran-crypto.html
  3. [03]trmlabs.comhttps://www.trmlabs.com/resources/blog/inside-the-nobitex-breach-what-the-leaked-source-code-reveals-about-irans-crypto-infrastructure
  4. [04]halborn.comhttps://www.halborn.com/blog/post/explained-the-nobitex-hack-june-2025

Registros relacionados