3 min
Il 16 giugno 2025 rimarrà probabilmente una data impressa nella memoria dei dirigenti di Nobitex, quando i sistemi di sicurezza dell'exchange iraniano hanno registrato una delle più sofisticate violazioni della storia recente delle criptovalute. Gli hacker sono riusciti a sottrarre oltre 81 milioni di dollari in asset digitali, utilizzando una strategia che ha aggirato i controlli interni attraverso indirizzi wallet personalizzati dal messaggio inequivocabile. L'attacco, rivendicato da un gruppo hacker filo-israeliano, si inserisce in un contesto geopolitico già incandescente tra Iran e Israele.
La strategia degli indirizzi personalizzati
L'elemento più sorprendente dell'attacco risiede nella metodologia utilizzata dai cybercriminali per aggirare i sistemi di sicurezza. Secondo l'investigatore blockchain ZachXBT, i malfattori hanno creato due vanity address specificamente progettati per eludere i controlli automatizzati dell'exchange. Il primo indirizzo, che conteneva la scritta "TKFuckiRGCTerrorists…mNX", è stato utilizzato per trasferire 49 milioni di dollari dalla rete Tron, mentre un secondo indirizzo personalizzato "0xffFFfFFffFF…Dead" ha servito per drenare i fondi rimanenti dalle blockchain compatibili con Ethereum Virtual Machine.
Questa tattica rivela una falla critica nei protocolli di sicurezza interni di Nobitex. Come ha spiegato Hakan Unal di Cyvers Security, gli aggressori sono riusciti a infiltrare sistemi che avrebbero dovuto bloccare automaticamente wallet non autorizzati, sfruttando probabilmente una vulnerabilità nei controlli di accesso dell'exchange.
Il movente geopolitico dell'attacco
Il gruppo responsabile dell'attacco, che si fa chiamare "Gonjeshke Darande", ha rivendicato l'operazione attraverso i social media con una chiara motivazione politica. Nel loro messaggio su X, hanno definito Nobitex uno strumento per il "finanziamento del regime" iraniano, minacciando di rilasciare il codice sorgente e i file interni della piattaforma entro 24 ore dalla violazione. L'attacco si inserisce in un momento di particolare tensione tra Iran e Israele, dopo i più gravi bombardamenti israeliani sul territorio iraniano dagli anni '80, che hanno causato almeno 224 morti in Iran e 24 in Israele secondo i rapporti ufficiali.
La dimensione geopolitica dell'attacco sottolinea come le criptovalute stiano diventando sempre più un campo di battaglia digitale nelle tensioni internazionali, dove gruppi di hacker utilizzano le competenze tecniche per colpire infrastrutture finanziarie considerate strategiche.
La risposta dell'exchange e le garanzie agli utenti
Nobitex ha reagito rapidamente alla violazione, sospendendo immediatamente i wallet caldi compromessi e rassicurando gli utenti sulla sicurezza dei fondi principali conservati in cold storage. L'exchange ha inoltre promesso di coprire tutte le perdite utilizzando il proprio fondo assicurativo e le risorse interne, una mossa che dovrebbe tranquillizzare i clienti preoccupati per la sicurezza dei propri asset.
Tuttavia, la minaccia di rilasciare codice sorgente e documentazione interna potrebbe spingere alcuni utenti a ritirare i propri fondi dalla piattaforma, creando una pressione aggiuntiva sui sistemi di liquidità dell'exchange. La gestione della comunicazione di crisi diventa quindi cruciale per mantenere la fiducia degli investitori.
Un mistero ancora da risolvere
Un aspetto particolarmente intrigante della vicenda riguarda il comportamento dei fondi rubati: dal momento dell'attacco, infatti, nessuna delle criptovalute sottratte ha lasciato gli indirizzi di destinazione iniziali. Questa immobilità potrebbe indicare che gli hacker stanno pianificando con cura le loro prossime mosse, oppure che l'attacco avesse principalmente un valore dimostrativo, come un avvertimento delle loro capacità operative.
L'incident di Nobitex evidenzia l'importanza cruciale di implementare protocolli di sicurezza che vadano oltre la semplice tecnologia, includendo processi robusti per la gestione degli accessi e il monitoraggio delle transazioni anomale. Per il settore delle criptovalute, questo caso rappresenta un ulteriore campanello d'allarme sulla necessità di rafforzare le difese contro attacchi sempre più sofisticati e motivati politicamente.