En las últimas noticias sobre criptomonedas de esta semana, un grupo de hacktivistas pro-Israel ha sumido en la confusión al mercado de activos digitales de Irán.
El 18 de junio, Nobitex -la mayor bolsa de criptomonedas del país- sufrió un importante hackeo de criptomonedas que drenó unos 90-100 millones de dólares de sus monederos calientes.
Según los análisis de blockchain, las monedas robadas, en Bitcoin, Ethereum, Dogecoin, XRP, Solana, Tron y otros, se enviaron a direcciones “quemadoras” controladas por el atacante sin claves privadas, destruyendo de hecho los fondos como una declaración política.
En 24 horas, los piratas informáticos cumplieron su amenaza: publicaron en Internet todo el código fuente de Nobitex, dejando al descubierto archivos y configuraciones críticas del sistema.
Hackers israelíes vacían Nobitex
Cripto noticias de The Coin Republic ayer, Nobitex confirmó una intrusión no autorizada en su infraestructura y sistema de hot-wallet.
La bolsa cerró su sitio web y su aplicación móvil y detuvo todos los servicios para contener la brecha. Los criptoinvestigadores rastrearon rápidamente al menos 90 millones de dólares en salidas hacia direcciones de criptomonedas controladas por los piratas informáticos.
Elliptic y Chainalysis -principales empresas forenses de blockchain- afirman que esas direcciones eran monederos desechables “de vanidad” que contenían lemas contra el IRGC, como “F*ckIRGCterrorists”.
Gorrión Predador, Gonjeshke Darande -grupo ampliamente señalado como vinculado a intereses israelíes- se atribuyó la responsabilidad. En un mensaje en X (Twitter), acusaron a Nobitex de financiar el terrorismo y eludir las sanciones.
El grupo advirtió a los usuarios de Nobitex que vaciaran sus cuentas, diciendo que todos los activos restantes correrían peligro pasadas 24 horas.
Este ataque se produjo un día después de que el mismo grupo atacase el Banco Sepah de Irán, lo que indica una pauta de ataques cibernéticos por motivos políticos en el conflicto entre Israel e Irán.
Los piratas informáticos queman criptomonedas y filtran el código fuente
En lugar de cobrar, los atacantes “quemaron” el cripto para hacer una declaración. Los fondos se enviaron a direcciones especialmente diseñadas para las que no existen claves.
Tom Robinson, de Elliptic, dijo que descifrar esas claves llevaría “miles de millones de años” con los ordenadores actuales. La mayoría de las monedas -incluidos 55 millones de dólares en stablecoins- permanecen encerradas en esos monederos inaccesibles.
Fieles a su advertencia, el 19 de junio saltó a los titulares la noticia de que los piratas informáticos habían hecho públicos el código fuente completo y los documentos internos de Nobitex.
Una publicación en X (Twitter) decía: “Se acabó el tiempo – código fuente completo enlazado a continuación. LOS ACTIVOS DEJADOS EN NOBITEX ESTÁN AHORA TOTALMENTE AL DESCUBIERTO”.
Los datos filtrados incluyen listas de servidores, archivos de configuración y un archivo zip del código backend de Nobitex. Los expertos en seguridad advierten de que la revelación podría revelar nuevas vulnerabilidades y poner aún más en peligro los fondos no protegidos de la bolsa.
Nobitex ha mantenido su plataforma fuera de línea desde la filtración. En un post de seguimiento del 19 de junio, la empresa afirmó que el incidente “sólo afectó a una parte de los activos almacenados en monederos calientes” y que la mayoría de los fondos de los clientes estaban a salvo en almacenes frigoríficos.
La bolsa se comprometió a cubrir todas las pérdidas con su reserva de seguros y a compensar íntegramente a los usuarios. Las cripto noticias Chainalysis informan de que Nobitex ha estado trasladando grandes cantidades de Bitcoin a nuevos monederos fríos fuera de línea para reforzar la seguridad.
El jueves, los responsables de Nobitex dijeron a los usuarios que la situación estaba “bajo control”. El acceso sigue suspendido, pero la empresa afirma que restablecerá el servicio cuando pueda garantizar la seguridad.
La empresa señaló que las interrupciones de Internet en todo el país han ralentizado los esfuerzos de recuperación. En particular, Nobitex tiene más de 10 millones de usuarios y ha gestionado más de 11.000 millones de dólares en entradas, mucho más que todas las demás bolsas iraníes juntas.
Irán impone un toque de queda criptográfico
El pirateo también ha asustado a los reguladores. Las noticias sobre criptomonedas informan de que las autoridades iraníes han ordenado a todas las plataformas nacionales de criptomonedas que reduzcan su horario, limitando las operaciones entre las 10 de la mañana y las 8 de la tarde.
Según Chainalysis, el banco central decretó este toque de queda de criptomonedas inmediatamente después del exploit Nobitex.
Los analistas de ciberseguridad afirman que el pirateo de Nobitex se ajusta a un patrón de ataques destructivos de grado estatal. El jefe de inteligencia sobre amenazas de Sophos, Rafe Pilling, señaló que los métodos del grupo Predatory Sparrow “tienen todas las características de una falsa personalidad utilizada por un grupo patrocinado por el gobierno”.
Afirmó que el hecho de que el grupo se centre en objetivos militares y financieros iraníes coincide en gran medida con las prioridades estratégicas israelíes, aunque la atribución directa sigue sin confirmarse.
Los analistas de Elliptic, que rastrearon los flujos de la cadena de bloques, creen que ningún delincuente habitual quemaría 90 millones de dólares sin más; éste fue un golpe simbólico.
Mientras tanto, los monitores de Internet de todo el mundo informan de que Irán está estrangulando el tráfico de red para protegerse de nuevos pirateos de criptomonedas y violaciones de la seguridad.
