
Największa irańska giełda kryptowalut ofiarą cyberataku. Straty przekraczają 90 milionów dolarów
W dniu wczorajszym – Nobitex – padła ofiarą poważnego cyberataku, w wyniku którego z jej gorących portfeli wyprowadzono ponad 90 milionów dolarów w kryptowalutach. Za atakiem stoi haktywistyczna grupa Predatory Sparrow, znana z wcześniejszych ataków na irańską infrastrukturę.
Dzień przed atakiem grupa opublikowała ostrzeżenie, w którym zapowiedziała cyberatak na Nobitex i ujawnienie kodu źródłowego giełdy. Równocześnie przyznała się do wcześniejszego zhakowania państwowego banku Sepah, co według ekspertów mogło ułatwić późniejsze włamanie do giełdy.

Polityczne motywy i „spalone” środki
Według danych firmy analitycznej Elliptic przejęte środki trafiły na tzw. adresy próżności, których nazwy zawierały antyirańskie przekazy, m.in. „F*ckIRGCterrorists” i „Dead”. Co istotne, są to adresy stworzone bez znajomości kluczy prywatnych, a więc środki, które na nie trafiły, zostały trwale utracone – co wskazuje, że celem ataku nie była kradzież, lecz polityczna demonstracja.
„To jednoznaczny sygnał – fundusze zostały spalone, by wysłać wiadomość władzom Iranu” – twierdzi Elliptic. Grupa Predatory Sparrow wcześniej prowadziła cyberataki na stalownie, rafinerie i infrastrukturę bankową Iranu, powodując realne szkody materialne. W 2022 r. ich atak doprowadził do pożaru w hucie stali, co wzbudziło podejrzenia o wsparcie ze strony państwa – najczęściej wskazuje się Izrael.
Nobitex to nie tylko największa giełda kryptowalut w Iranie, ale również podmiot powiązany z elitami władzy. Śledztwa dziennikarskie i dane blockchain wskazują na powiązania giełdy z członkami Korpusu Strażników Rewolucji Islamskiej (IRGC) oraz rodziną Najwyższego Przywódcy, Alego Chameneiego. Według Elliptic platforma była wykorzystywana przez osoby objęte sankcjami – m.in. Ahmada Khatibiego i Amira Hosseina Ravari – do przeprowadzania transakcji powiązanych z oprogramowaniem ransomware BitLocker. Osoby te zostały wpisane na listę sankcyjną amerykańskiego OFAC już we wrześniu 2022 roku.
W odpowiedzi na atak Nobitex poinformował, że straty dotyczą wyłącznie gorących portfeli, a środki użytkowników będą rekompensowane z funduszu ubezpieczeniowego. Giełda zawiesiła czasowo wszystkie wpłaty i wypłaty oraz zapowiedziała audyt kryminalistyczny. Wersja internetowa platformy była niedostępna przez wiele godzin po ataku.
Predatory Sparrow zagroziła publikacją wewnętrznych dokumentów giełdy, jej kodu źródłowego oraz danymi klientów. Hakerzy opisali Nobitex jako „kluczowy mechanizm do obchodzenia sankcji i finansowania IRGC”.
Cyberwojna Iran–Izrael w tle
Atak na Nobitex wpisuje się w szerszy kontekst eskalacji napięć między Iranem a Izraelem, która coraz częściej przybiera formę cyberwojny. Eksperci z firmy CertiK szacują, że w 2025 r. szkody dla sektora kryptowalut przekroczyły już 2 miliardy dolarów, przy czym liczba ataków na portfele rośnie szybciej niż przypadki błędów protokołów.
Rob Joyce, były szef cyberbezpieczeństwa w NSA, komentując wydarzenia, napisał na portalu X, że „odcięcie funduszy Banku Sepah lub uderzenie w zaufanie do sektora finansowego może mieć długofalowe skutki dla Iranu”.
Dziś atak na Nobitex nie jest tylko epizodem w historii kryptowalut – to symptom geopolitycznej cyberkonfrontacji, w której kryptowaluty są nie tylko narzędziem finansowym, ale i polem bitwy. Przypadek Nobitex pokazuje, jak łatwo cyfrowe aktywa mogą stać się celem politycznych ataków i jak głęboko powiązania giełd z reżimami mogą przyciągać uwagę cyberbojowników.