Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 237Compromission de clé privée

Destruction politiquement motivée de Nobitex

Plus de 90 M$ drainés du plus grand échange iranien par Predatory Sparrow, puis brûlés vers des adresses avec messages anti-IRGC — destruction, pas profit.

Date
Victime
Nobitex
Chaîne(s)
BitcoinEthereumTronBNB Chain
Statut
Fonds dérobés
Attribution
Gonjeshke Darande / Predatory Sparrow

Le 17 juin 2025, Nobitex — par volume le plus grand échange de cryptomonnaies en Iran — a été drainé de plus de 90 millions de dollars d'actifs clients sur au moins quatre chaînes. Ce qui distinguait l'incident était la destination des fonds : des adresses dont les clés privées n'existent prouvablement pas, avec des préfixes vanity épelant des slogans anti-IRGC. L'argent n'a pas été volé. Il a été délibérément détruit.

Ce qui s'est passé

Un groupe se faisant appeler Gonjeshke Darande (« Moineau prédateur ») — que des entreprises de sécurité dont Elliptic ont à plusieurs reprises lié à des opérateurs étatiques israéliens — a revendiqué la responsabilité. Le groupe a précédemment mené des opérations destructrices contre des stations-service, des aciéries et des systèmes ferroviaires iraniens ; c'était leur première opération crypto majeure.

La compromission a atteint profondément l'infrastructure de Nobitex. Les fonds ont été balayés des hot wallets sur Bitcoin, Ethereum, Tron et BNB Chain. Chaque morceau a été envoyé à une adresse vanity dont le préfixe incluait une référence chargée de grossièretés au Corps des gardiens de la révolution islamique — des adresses pour lesquelles aucune clé privée ne peut plausiblement exister, signifiant que les fonds sont à jamais verrouillés.

Deux jours après le piratage, les attaquants ont divulgué le code source complet de Nobitex, la documentation d'infrastructure et la R&D interne, exposant l'architecture des rails crypto phares d'Iran.

Conséquences

  • Nobitex a mis en pause toutes les opérations et annoncé qu'il compenserait les utilisateurs depuis les réserves internes et une migration de portefeuille contrôlée.
  • Elliptic et TRM Labs ont publié des analyses du code source divulgué, documentant comment Nobitex avait été utilisé pour évader les sanctions et acheminer des fonds pour des entités sanctionnées.
  • Aucun fonds n'a été récupéré. Aucun ne le sera jamais — ils ne peuvent être déplacés.

Pourquoi c'est important

Nobitex est le premier cas largement documenté d'un piratage aligné sur un État dont l'objectif explicite était la destruction plutôt que le profit. Il change fondamentalement le modèle de menace pour les échanges dans des juridictions géopolitiquement exposées : le pire des cas n'est plus seulement de perdre de l'argent, mais de devenir une cible dont l'infrastructure est divulguée comme un actif stratégique.

Sources & preuves on-chain

  1. [01]bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/pro-israel-hackers-hit-irans-nobitex-exchange-burn-90m-in-crypto/
  2. [02]cnbc.comhttps://www.cnbc.com/2025/06/18/pro-israel-hackers-iran-crypto.html
  3. [03]trmlabs.comhttps://www.trmlabs.com/resources/blog/inside-the-nobitex-breach-what-the-leaked-source-code-reveals-about-irans-crypto-infrastructure
  4. [04]halborn.comhttps://www.halborn.com/blog/post/explained-the-nobitex-hack-june-2025

Dépôts liés