در فضای مهآلود و پر تنش جنگ ایران و اسرائیل و در یکی از جنجالیترین اتفاقات فضای رمز ارز ایران، صرافی نوبیتکس به عنوان بزرگترین پلتفرم خرید و فروش ارز دیجیتال در ایران هدف یک حمله سایبری سازمانیافته قرار گرفت.
گروه هکری “گنجشک درنده” که برخی آن را وابسته به دولت اسرائیل میدانند و در روزهای اخیر حسابهای چند بانک دولتی از جمله سپه و پاسارگاد را نیز هک کرده بود، مسئولیت هک نوبیتکس را به عهده گرفت. گمانهزنیهای اولیه از سرقت دهها میلیارد تومان رمز ارز در نتیجه این حمله حکایت دارد.
در ادامه مقاله برای کسب اطلاعات بیشتر از این حمله با ما باشید.
- مهاجمان ابتدا دسترسی سطح بالا به زیرساخت نوبیتکس پیدا کردند، اما به جای سرقت، وجوه را به آدرسهایی با کیف پول بدون کلید خصوصی منتقل کردند که نشاندهنده نیت تخریبی بود.
- بررسی تراکنشها در شبکههای اتریوم و ترون نشان میدهد مهاجمان از آدرسهایی استفاده کردهاند که قبلاً با ابزارهای ردیابی تراکنش و کیفپولهای موقت و یک بار مصرف در ارتباط بودهاند.
- از نظر امنیتی، این حمله نشان داد که سیستم نوبیتکس در شناسایی فوری تراکنشهای مشکوک ضعف داشته؛ چون با وجود چندین انتقال غیرعادی، فرآیند برداشتها متوقف نشد و ادامه پیدا کرد.
جزئیات حمله به نوبیتکس؛ چه چیزی رخ داد؟
با بررسی منابع اندکی که وجود دارد، میتوان به این نتیجه رسید که هک نوبیتکس بهصورت هدفمند و پیچیده انجام شده است.
بنا به اطلاعیهای که صرافی نوبیتکس در صبح روز 28 خرداد 1404 و در پی هک این صرافی منتشر کرده است، مهاجمان از یک نقص امنیتی در APIهای داخلی این صرافی سوء استفاده کرده و موفق شدند که به کیف پولهای گرم (Hot Wallets) صرافی نفوذ کنند.
همچنین با بررسی دادههای آنچین (On-chain) به نظر میرسد که در طی این حمله هزاران برداشت زیر 150 تتر انجام شده است. این شاید به این معنا باشد که صرافی برای انتقال زیر 150 تتر سطح تاییدههای پایینتری گذاشته و هکرها نیز از این موضوع سوء استفاده کردهاند.
بعد از وقوع حمله، نوبیتکس برای چند ساعت برداشت داراییها را غیرفعال کرد و بسیاری از کاربران با پیام “سیستم در حال بهروزرسانی است” مواجه شدند، اقدامی که معمولاً برای جلوگیری از برداشتهای بیشتر یا حملات دو مرحلهای انجام میشود. تنها پس از گذشت چند ساعت، نوبیتکس اولین اطلاعیه رسمی خود در این مورد را صادر کرد.
از سوی دیگر و با مشاهده آدرس کیف پول مقصد، چنین برداشت میشود که هکرها برای انجام این عملیات سرقت وقت زیادی صرف کردهاند. آدرس کیف پول مقصد که یک کیف پول بدون کلید خصوصی است، به شرح زیر است:
TKFuckiRGCTerroristsNoBiTEXy2r7mNX
مبلغ واریز شده به این کیف پول که از طریق وبسایت Tronscan به صورت زنده قابل مشاهده است ظرف چند ساعت اولیه از شروع حمله به نزدیک 50 میلیون دلار و نهایت این مبلغ به حدود 90 تا 100 میلیون دلار رسیده است.
واکنش کاربران و تاثیر هک بر بازار رمز ارز داخلی
هک نوبیتکس، علاوه بر خسارت مالی قابل توجه، به اعتبار این صرافی و کل اکوسیستم رمز ارز داخلی لطمه زد. در ادامه واکنشها و پیامدهای این بحران را بررسی میکنیم.
افت اعتماد عمومی به صرافیهای ایرانی
با انتشار خبر هک نوبیتکس، در ابتدا موجی از تلاش برای نجات داراییهای کریپتویی در میان کاربران ایرانی نسبت به صرافیهای داخلی به راه افتاد. برخی کاربران با انتشار پستهایی در شبکههای اجتماعی اعلام کردند که داراییهای خود را از صرافیهای مشابه خارج کرده و به کیف پولهای سرد مانند تراست ولت انتقال دادهاند.
وابستگی کاربران به کیف پولهای «گرم» و ضعف دسترسی کنترلها سبب شد بخش قابل توجهی از سرمایه (حدود ۹۰ تا ۱۰۰ میلیون دلار) سرقت شود، این رخداد ممکن است نقطهی عطفی در مسیر مهاجرت کاربران ایرانی به کیف پولهای شخصی باشد که کلید خصوصی آنها در دست خود کاربر است و نه یک صرافی ارز دیجیتال.
از سوی دیگر بازگشت نوبیتکس با محدودیت ساعات کاری (۱۰ صبح تا ۸ شب) توسط بانک مرکزی، نهتنها پیامی برای بهبود نظارت بود، بلکه دال بر کاهش خودکار اعتماد کاربران به پلتفرمهای داخلی شد.
البته، نوبیتکس به تدریج با بازگشت ساعات کاری، آغاز احراز هویت مجدد و بازگرداندن بخشی از موجودیها به کاربران، روند بازیابی خدمات را آغاز کرده است و این فرآیند همچنان ادامه دارد.
واکنش شبکههای اجتماعی و انجمنهای رمزنگاری
در ساعات ابتدایی پس از حمله، هشتگهایی مانند #نوبیتکس به ترند ایکس فارسی تبدیل شدند. کاربران در حال بررسی ابعاد حمله و رفتارهای امنیتی نوبیتکس بودهاند.
در ادامه این موج واکنشها، در پلتفرمهایی مانند ردیت و توییتر نیز تحلیلگران بلاکچین و کاربران عادی به صورت همزمان به بررسی فنی ابعاد حمله پرداختهاند. برخی فایل منبع هکشده را بررسی کرده و متوجه شدند بخش زیادی از وجوه به کیف پولهایی با پیامهای ضد سپاه پاسداران فرستاده شدهاند—یعنی کیف پولهایی که دسترسی کلید خصوصی ندارند.
بحثها حول این محور بوده است که آیا نوبیتکس میتواند اعتماد مجدد را بازسازی کند یا اینکه کاربران پس از این حادثه به پلتفرمهای خارجی متمایل خواهند شد.
آیا بازار رمز ارز ایران به سمت صرافیهای خارجی میرود؟
وجود چالشهایی مانند تحریمها و محدودیتهای احراز هویت و خطرات بلوکه شدن دارایی ایرانیها، یکی از اصلیترین دلایل رونق صرافیهای داخلی در ایران و عدم استفاده کاربران ایرانی از صرافیهای بینالمللی مثل بایننس، کوکوین یاOKX بوده است.
با این وجود، در حال حاضر دغدغه افزایش امنیت داراییهای دیجیتال به یک موضوع بسیار مهم بین کاربران ایرانی تبدیل شده و ممکن است کاربران در آینده به دنبال راهی برای ورود به صرافیهای خارجی باشند.
این موضوع به ویژه اگر صرافی نوبیتکس در تلاش برای جبران خسارت کاربران آسیب دیده برنیاید تقویت خواهد شد.
آیا اطلاعات کاربران هم در خطر بوده است یا فقط مبالغ موجود سرقت شده است؟
اطلاعات دقیقی از این موضوع در دست نیست، اما این احتمال وجود دارد که علاوه بر رمزارزها، اطلاعات خصوصی افراد نیز نشت کرده باشد.
بررسی احتمال نشت اطلاعات هویتی و مالی
برخی گزارشهای فنی حاکی از آن است که مهاجمان به بخشی از پایگاه داده کاربران نیز دسترسی یافتهاند. بسیاری از کاربران نیز در حال انتشار اسکرین شات از پیامکهایی هستند که با نام کاربر شروع شده و درباره هک شدن نوبیتکس و فرصت 24 ساعته برای نجات داراییها هشدار میدهد. این پیامکها با سرشماره نوبیتکس به کاربران ارسال شده است، اما عدم تطابق نام ذکر شده در پیامک با نام واقعی کاربر این شائبه را به وجود آورده است که ممکن است اطلاعات هویتی به طور کامل هک نشده باشند.
گزارشهای اولیه از لو رفتن دادههای احراز هویت
بنا به برخی گزارشها، کاربران در بات تلگرامی نوبیتکس پیامی از هکرها دریافت کردهاند که بر دزدیده شدن فایلها و دادههای نوبیتکس در کنار داراییهای موجود در این صرافی اشاره میکند. این دادهها ممکن است شامل اطلاعات هویتی (تصاویر کارت ملی، سلفی، شماره حساب بانکی) باشد که در فرآیند احراز هویت ذخیره میشود.
نوبیتکس هنوز این نشت را به طور رسمی تأیید نکرده است، اما وعده داده بررسی کامل را در اسرع وقت انجام دهد.
توصیههای امنیتی به کاربران آسیبدیده
کاربران آسیبدیده لازم است فوراً اقدامات زیر را انجام دهند:
- تغییر رمز عبور ایمیل و حساب کاربری در نوبیتکس؛
- فعالسازی احراز هویت دو مرحلهای (2FA)؛
- خودداری از کلیک بر روی لینکهای مشکوک و فیشینگ؛
- بررسی لیست تراکنشها برای مشاهده و پیگیری هرگونه فعالیت مشکوک.
به علاوه، توصیه میشود که مالباختگان با همراه داشتن مدارک احراز هویت، ایمیل ثبتنام و تاریخچه تراکنشها به پلیس فتا مراجعه کنند. از آنجا که گزارش هک نوبیتکس در سطح ملی در حال بررسی است، مراجعه ب هموقع به مراجع قضایی میتواند در روند پیگیری مؤثر باشد.
نوبیتکس چه اقداماتی انجام داده است؟
در پی نفوذ هکرها به سرورهای نوبیتکس، این صرافی اقداماتی را انجام داد که در ادامه به آنها میپردازیم.
اطلاعیه رسمی و اقدامات اولیه امنیتی
نوبیتکس ساعاتی پس از حمله با انتشار بیانیهای رسمی اعلام کرد که بخشی از زیرساختهای اطلاع رسانی و کیف پولهای گرم این صرافی مورد حمله قرار گرفتهاند در حالی که، کیف پولهای سرد در امنیت کامل هستند.
به علاوه، نوبیتکس در این اطلاعیه مسئولیت کامل این حادثه را بر عهده گرفته و جبران خسارت از طریق صندوق بیمه و منابع نوبیتکس را تضمین کرد. همچنین، نوبیتکس اعلام کرد که اقدامات امنیتی زیر را انجام داده است:
- تا زمان بررسی کامل، دسترسیها به وبسایت و اپلیکیشن نوبیتکس قطع شده و دسترسی به سرورهای مرتبط با نوبیتکس امکان پذیر نیست؛
- موجودی تمامیکیف پولهای گرم تخلیه و به آدرسهای امن منتقل شده است؛
- بررسی میزان دقیق داراییهای خارج شده از صرافی آغاز شده است؛
ضمنا این اطمینان به کاربران داده شده است که اطلاعات حسابها به طور کامل در سرورهای پشتیبان ذخیره شده و محفوظ است.
در ساختار فنی نوبیتکس، به نظر میرسد همان سطح دسترسی که امکان انتقال وجه را دارد، به بخشهای حساس سیستم هم دسترسی داشته است، در حالی که در معماریهای امن، این دسترسیها باید از هم جدا باشند تا در صورت هک، کنترل کامل سیستم ممکن نباشد.
مسدودسازی آدرسهای مرتبط با هکرها
تلاشهایی نیز برای شناسایی و بلاکلیست کردن آدرسهایی که رمز ارزها به آنها منتقل شده، انجام شده است. برخی از این آدرسها در شبکههای بیتکوین و اتریوم شناسایی شده و در حال حاضر توسط نهادهای تحلیلی مانند Chainalysis یا Crystal Blockchain تحت بررسی و ردیابی قرار دارند.
همچنین این آدرسها به صرافیهای بینالمللی مانند بایننس و کراکن برای مسدودسازی آنها گزارش شدهاند.
همکاری نوبیتکس با پلیس فتا و نهادهای قضایی
طبق اعلام رسمی، نوبیتکس از همان دقایق آغازین حمله با پلیس فتا و نهادهای مسئول در ارتباط بوده و اقدامات اساسی برای حفظ داراییهای کاربران و بازیابی حداکثری داراییهای منتقل شده را انجام داده است.
به علاوه، امیرحسین راد مدیر عامل نوبیتکس در حساب کاربری ایکس خود از هکرهای کلاه سفید در همه جای دنیا برای مقابله با این تهاجم درخواست کمک کرده است.
بسیاری از صرافیهای بزرگ با انجام دورهای حملات شبیهسازیشده ضعفهای امنیتی را پیش از وقوع واقعی شناسایی میکنند، نوبیتکس به دلیل فقدان چنین سازوکاری، برای مقابله با حملات تدریجی یا دسترسی داخلی آماده نبود.
این هک چه پیامی برای سایر صرافیهای ایرانی دارد؟
هک نوبیتکس – به عنوان بزرگترین صرافی رمزارز ایرانی- یک زنگ خطر جدی و بیسابقه برای کل اکوسیستم رمزارز ایران است. این اتفاق تنها یک حادثه امنیتی نیست؛ بلکه پیامی چندلایه برای سایر صرافیهای ایرانی دارد که اگر آن را جدی نگیرند، احتمال تکرار این فاجعه را برای آنها بالا میبرد؛ از جمله اینکه:
- ارزیابی و تقویت زیرساخت امنیتی و بروزرسانی تکنولوژیهای امنیتی یک ضرورت است؛
- به نظر میرسد هک نوبیتکس تنها از بیرون اتفاق نیفتاده است بنابراین، امنیت باید در لایه زیرساخت، معماری و فرهنگ سازمانی صرافی نهادینه شود؛
- داشتن برنامه بازیابی حمله سایبری (Incident Response Plan)، قرارداد بیمه دارایی دیجیتال و کانالهای ارتباطی فعال حیاتی است.
راهکارهایی برای محافظت کاربران در برابر حملات بعدی
برخی از این راهکارهای متداول برای محافظت کاربران از داراییهای خود در برابر هکهای احتمالی در آینده عبارتند از:
خارج کردن داراییها از صرافیها به کیف پول شخصی (Self-Custody)
داشتن کلید خصوصی در دنیای رمزارز به معنای امنیت است. بنابراین، بهتر است که کاربران داراییهای خود را نه در صرافیهای ارز دیجیتال که در کیفپولهای سختافزاری یا نرمافزاری شخصی مانند تراست ولت، اکسودوس (Exodus) و لجر (Ledge) نگهداری کنند تا از مخاطرات ناشی از حملات به صرافیها در امان باشند.
استفاده از احراز هویت دو مرحلهای (2FA) و رمزهای قوی
رمزهای پیچیده و فعالسازی احراز هویت چند مرحلهای میتواند لایه حفاظتی مؤثری برای حساب کاربران ایجاد کند.
بررسی و پاکسازی دستگاههای متصل به حسابهای صرافی
کاربران باید اطمینان حاصل کنند که گوشی یا رایانهای که با آن وارد حساب کاربری میشوند، فاقد بدافزار یا نرمافزارهای مخرب باشد.
به علاوه، از کاربران درخواست میشود که در روزهای آینده مراقب تماسها، پیامها یا ایمیلهایی باشند که ادعای «بازپرداخت»، «دسترسی به حساب»، یا «رفع مسدودی» دارند. اینها میتوانند فیشینگ و تله هکرهای دومرحلهای باشند.
آینده نوبیتکس پس از این حمله؛ بازگشت اعتماد یا ریزش؟
اینکه صرافی نوبیتکس چه عکس العملی در مقابل این حمله داشته باشد، میتواند آینده این صرافی را ترسیم کند.
سناریوهای احتمالی برای ادامه فعالیت یا از دست رفتن جایگاه بازار
اگر نوبیتکس بتواند به سرعت خسارات کاربران را جبران کرده و اقدامات امنیتی قویتری اعمال کند، ممکن است اعتماد نسبی کاربران را دوباره جلب کند.
در غیر این صورت، احتمال کوچ کاربران به سایر صرافیهای داخلی، صرافیهای خارجی بدون KYC یا حتی پروژههای دیفای (DeFi) وجود دارد.
آیا کاربران به نوبیتکس فرصت دوباره میدهند؟
تاریخ نشان داده که بازار رمز ارز حافظه کوتاهمدتی دارد. اگر نوبیتکس عملکرد شفاف، سریع و پاسخگو از خود نشان دهد، میتواند حداقل بخشی از اعتبار خود را بازیابد. در غیر این صورت، این حمله میتواند به آغاز افول بزرگترین صرافی رمزارز ایرانی بدل شود.
