Un colectivo de hackers pro-Israel ha cumplido su promesa de liberar el código fuente completo de Nobitex, el mayor intercambio de criptomonedas de Irán, solo un día después de orquestar un exploit de blockchain de alto perfil que involucró más de $100 millones en activos digitales.
El grupo conocido como Gonjeshke Darande, también referido como Gorrión Depredador, publicó un post en la plataforma de redes sociales X el jueves confirmando la filtración de los datos internos de Nobitex.
“Se acabó el tiempo, el código fuente completo está vinculado a continuación. LOS ACTIVOS DEJADOS EN NOBITEX ESTÁN AHORA COMPLETAMENTE A LA VISTA,” decía el post.
El hacker publica el script de blockchain tras el exploit de $100 millones
La filtración, publicada en un hilo de X, incluía componentes de la infraestructura de la plataforma como scripts de blockchain, configuraciones internas de privacidad y una lista de servidores. Los analistas de ciberseguridad dicen que la divulgación efectivamente paraliza la seguridad del backend de Nobitex, dejando cualquier activo restante en el intercambio vulnerable a más ataques.
Se acabó el tiempo – el código fuente completo está vinculado a continuación.
LOS ACTIVOS DEJADOS EN NOBITEX ESTÁN AHORA COMPLETAMENTE A LA VISTA.
بازمانده دارایی های شما در نوبیتکس هم اکنون در معرض دید و خطر هستند
Pero antes de eso, conozcamos a Nobitex desde adentro:
Despliegue de Intercambio (1/8) pic.twitter.com/jiMfBpNXwd
— Gonjeshke Darande (@GonjeshkeDarand) 19 de junio de 2025
La liberación del código fuente sigue las amenazas emitidas un día antes, cuando el grupo reivindicó la responsabilidad de un ataque coordinado en múltiples redes de blockchain.
Según la declaración, la motivación del grupo surgió del supuesto papel de Nobitex en ayudar al gobierno iraní a eludir las sanciones internacionales. Llamaron al intercambio “la herramienta favorita del régimen para violar sanciones.”
Gorrión Depredador se ha atribuido el crédito por otros ciberataques en los últimos días, incluido uno dirigido al Banco Sepah, de propiedad estatal de Irán.
$100M en criptomonedas quemadas, no robadas
El miércoles, las firmas de análisis de blockchain Chainalysis y Elliptic confirmaron que aproximadamente $100 millones en activos criptográficos, incluyendo Bitcoin, Ethereum, XRP, Dogecoin, Solana, Tron y Toncoin, fueron afectados en el robo.
Según el jefe de inteligencia de seguridad nacional de Chainalysis, Andrew Fierman, los activos robados fueron enviados a billeteras desechables, direcciones criptográficas a las que los atacantes no pueden acceder.
Los analistas creen que los fondos no fueron robados por lucro, sino que fueron destruidos para enviar un mensaje político. “El motivo para robar más de $90 millones en fondos es por algo diferente a la ganancia financiera,” afirmó Fierman, calificando el acto de simbólico y destructivo.
El análisis de Elliptic también respalda esta interpretación, señalando el uso de billeteras de vanidad con nombres provocativos como “1FuckiRGCTerroristsNoBiTEXXXaAovLX” y “DFuckiRGCTerroristsNoBiTEXXXWLW65t.” Estas direcciones parecen haber sido creadas con generadores de fuerza bruta y carecen de claves privadas recuperables, probablemente un esfuerzo deliberado para hacer que los fondos sean irrecuperables.
Yehor Rudytsia, un investigador de seguridad en la firma de blockchain Hacken, dijo que la elección de las direcciones de billetera utilizadas en el ataque era más “política” que un robo financiero típico.
“Los nombres y el comportamiento de las billeteras sugieren una declaración política en lugar de un robo motivado financieramente,” dijo Rudytsia.
Agregó que la mayoría de los activos, más de 20 tokens diferentes en cadenas compatibles con EVM, fueron enviados a direcciones desechables limpias. “La única posibilidad de recuperación parcial radica en Tether, que podría reemitir los $55 millones en USDT robados,” explicó.
Nobitex respondió a los acontecimientos el jueves, diciendo que no ocurrieron pérdidas adicionales tras la filtración de datos. El intercambio anunció planes para restaurar los servicios en un plazo de cinco días, aunque las interrupciones de internet en Irán pueden ralentizar los esfuerzos de recuperación.
Intercambio vinculado a grupos militares y militantes iraníes
El hacker ha afirmado que Nobitex está conectado al Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC), una organización militar designada como entidad terrorista por Estados Unidos, Reino Unido, Unión Europea y Canadá.
Investigaciones de Elliptic han vinculado previamente a Nobitex con operativos de ransomware sancionados por sus vínculos con la IRGC, y con individuos con estrechas afiliaciones al Líder Supremo de Irán, el Ayatolá Ali Khamenei.
Los datos de blockchain también muestran actividad transaccional entre billeteras de Nobitex y cuentas conectadas a grupos como Hamas, Jihad Islámica Palestina y el movimiento Houthi de Yemen.
Tus noticias de criptomonedas merecen atención - KEY Difference Wire te coloca en más de 250 sitios principales
