O hack de $90 milhões da maior exchange de criptomoedas do Irã, Nobitex, fez manchetes globais. Mas dados de blockchain recém-surgidos mostram que a violação expôs algo maior.
Um relatório forense da empresa de inteligência em blockchain Global Ledger descobriu que meses antes do ataque em 18 de junho, a Nobitex estava movendo sistematicamente os fundos dos usuários usando técnicas comumente associadas à lavagem de dinheiro.
A Exchange Nobitex do Irã Estava Lavando Fundos de Usuários Antes do Hack?
Os dados em cadeia mostram que a Nobitex empregou um método chamado peelchaining. Isso ocorre quando grandes quantidades de Bitcoin são divididas em blocos menores e roteadas através de carteiras de vida curta.
A técnica torna o rastreamento de fundos difícil e é frequentemente usada para obscurecer as origens do dinheiro. No caso da Nobitex, os analistas encontraram um padrão de BTC sendo ciclado em blocos consistentes de 30 moedas.
A Global Ledger também descobriu que a Nobitex usou endereços temporários de depósito e retirada—um comportamento conhecido como transações de chip-off. Esses endereços de uso único canalizam BTC para novas carteiras, disfarçando trilhas de liquidez.
A Carteira Nobitex Hackeada Recebeu Pequenos Blocos de Bitcoin de uma Carteira Suspeita ao Longo do Tempo. Fonte: Global Ledger A “Carteira de Resgate” Não Era Nova
Após o hack, a Nobitex afirmou que transferiu os fundos restantes como uma medida de segurança. A atividade em cadeia mostrou uma varredura de 1.801 BTC (no valor de aproximadamente $187,5 milhões) para uma carteira recém-criada.
Mas esta carteira não era nova. Os dados da blockchain rastreiam seu uso histórico até outubro de 2024. A carteira já havia coletado fundos desgastados.
Esta “carteira de resgate” recebeu múltiplas transferências de 20 a 30 BTC que seguiram os mesmos padrões semelhantes à lavagem, mesmo antes do hack ocorrer.
Atividade Pós-Hack Mostra Controle Continuado
Horas após a violação, a Nobitex moveu fundos de sua carteira quente exposta para outro endereço interno. Essa varredura de saldo total indicou que a Nobitex manteve o controle operacional.
Em 19 de junho, os investigadores observaram 1.783 BTC transferidos novamente para uma nova carteira de destino. Isso coincidiu com a afirmação pública da Nobitex de assegurar seus ativos—mas agora com um contexto adicional.
Os fluxos sugerem que, em vez de reagir ao hack, a Nobitex estava simplesmente seguindo seu manual pré-existente de lavagem de dinheiro.
O grupo de hackers pró-Israel Gonjeshke Darande publicou arquivos expondo a estrutura da carteira interna da Nobitex.
O hack pode ter chocado os usuários, mas os dados da blockchain mostram que a Nobitex já estava movendo fundos dessa maneira há meses.
Carteiras antigas ligadas à exchange estavam regularmente enviando Bitcoin para novas carteiras. A partir daí, os fundos eram divididos em quantias menores e movidos repetidamente—geralmente em blocos de 20 ou 30 BTC.
Esse método torna mais difícil rastrear onde o dinheiro acaba. É semelhante a como algumas pessoas escondem seus rastros ao mover fundos através de cripto.
O que é importante é que isso não foi algo que a Nobitex começou a fazer após o hack. Eles já estavam fazendo isso muito antes e continuaram fazendo isso depois—quase como se fosse um procedimento padrão.
Uma carteira em particular—bc1q…rrzq—aparece repetidamente. Ela recebeu muitos depósitos de usuários e parece ser o ponto de partida para muitos desses movimentos de fundos difíceis de rastrear.
Fundos de Usuários da Nobitex Sendo Transferidos para uma Carteira Potencial de Lavagem de Dinheiro. Fonte: Global Ledger
Em resumo, o hack não fez com que a Nobitex mudasse a forma como lidava com os fundos. Ele simplesmente trouxe a atividade contínua nos bastidores para os olhos do público.
