אחרי שתקפה בנקים וכספומטים, קבוצת ההאקרים "הדרור הטורף" פרצה לבורסת קריפטו איראנית וגנבה עשרות מיליוני דולרים.
קבוצת הסייבר "Gonjeshke Darande" לקחה אחריות, פרסמה התראה ללקוחות והבטיחה לשחרר בתוך 24 שעות את מסמכי החברה. בורסת Nobitex השביתה את השירות ומבטיחה לפצות משתמשים, אך האירוע כבר מטלטל את אחת מדרכי עקיפת-סנקציות החשובות של טהראן.
הבוקר (18 ביוני), זיהה חוקר בלוקצ'יין העברות חריגות של עשרות מיליוני דולרים מארנקים השייכים לבורסת הקריפטו האיראנית Nobitex. בתוך שעות התברר כי הבורסה נפרצה, ולפחות 48.6 מיליון דולר בטוקנים דיגיטליים נמשכו, והאתר, יחד עם האפליקציה, הושבת "עד להשלמת חקירה".
בהמשך הוערך מחדש היקף הפריצה, כאשר למעלה מ-80 מיליון דולר נמשכו מארנקי Nobitex. רוב המטבעות הועברו לכתובת "מתה" ברשת Tron - כתובת שאין לה מפתח פרטי ידוע. בפועל, הכסף "נזרק לפח": הוא נשרף ואינו ניתן לשחזור.
הדרך היחידה לחלץ את הכסף הזה היא רק על ידי פנייה של רשויות האכיפה לחברת Tether, מנפיקת הסטייבלקוינס USDT, חילוץ הכסף אינו סביר בשל סיכון להטלת סנקציות על החברה, שסביר שאינה קשורה או מעוניינת בכך.
הדבר התרחש רק 48 שעות אחרי שהותקף בנק Sepah - הבנק הממשלתי המרכזי שבשליטת משמרות-המהפכה. מתקפת סייבר, שלפי ההערכות בוצעה גם היא בידי Gonjeshke Darande, הפילה את מערכות ה-IT ברחבי איראן והשביתה כספומטים ואפליקציות תשלומים של מיליוני לקוחות. העובדה שהבנק משמש צינור שכר לעובדי ממשל וחיילי IRGC העצימה את הפגיעה: שכרם החודשי אמור היה להתקבל השבוע והושעה עד להודעה חדשה.
הדרור הטורף
במקביל, קבוצת האקרים בשם Gonjeshke Darande ("הדרור הטורף") פרסמה הודעת איום שבה הצהירה: "בעוד 24 שעות נחשוף את קוד המקור ואת כל המידע הפנימי, כל נכס שיישאר שם יהיה בסיכון".
הפריצה נחשפה תחילה בציוץ של חוקר הבלוקצ'יין ZachXBT שדיווח על תנועות חשודות ברשת בלוקצ'יין בשם Tron, רשת פופולרית בקרב משתמשים איראנים. הכסף זרם לכתובת בעלת שם בוטה ומחאתי:TKFuckiRGCTerroristsNoBiTEXy2r7mNX.
רמז למוטיב פוליטי נגד משמרות המהפכה: הקבוצה Gonjeshke Darande, המזוהה כיריבה מוצהרת של המשטר, פרסמה בהמשך כרזה שחורה (פורסמה גם בטלגרם וב-X) ובה אזהרה: "Nobitex היא כלי מפתח לעקיפת סנקציות. כל מי שמחזיק כסף שם - תוציאו אותו לפני שיהיה מאוחר מדי".
הבורסה מודה: "נמצאה גישה בלתי מורשית"
בהודעה רשמית בפרסית הודתה הבורסה כי "נמצאה גישה בלתי-מורשית לחלק מהארנקים וחלק מהתשתיות", והדגישה כי ארנקי החומרה (ארנקים קרים), בהם מוחזקים מרבית נכסי הלקוחות - נשארו בטוחים.
הבורסה התחייבה לכסות את כל ההפסדים מקרן הביטוח הפנימית והבהירה כי השירותים יישארו מושבתים עד לסיום הבדיקה המלאה.
מי הם Gonjeshke Darande? הקבוצה, שפועלת לפחות מאז 2021, מוכרת בזכות שורת מתקפות קודמות על מוסדות פיננסיים באיראן, בהן Bank Sepah, הבנק שמנוהל על-ידי משמרות המהפכה (IRGC).
לחשבון הרשמי שלה ברשת X יש כ-4,000 עוקבים, והוא משמש כבמת תיעוד למתקפות, הפצת מסרים אנטי-משטריים ופרסומים באנגלית על דרכי עקיפת הסנקציות. הסמל שמלווה את הקבוצה, דרור לבן משובץ במעגלי-סיליקון הופיע גם בשקופית האיום ששחררה הבוקר, ומיתג סופית את ההתקפה נגד Nobitex.
לעקוף סנקציות באמצעות קריפטו
למה הפריצה כל כך משמעותית? מאז שנותקו הבנקים האיראניים ממערכת SWIFT, מסחר בקריפטו (בעיקר ברשת Tron) הפך לעורק תשלומים חיוני עבור טהראן.
Nobitex, המשרתת מיליוני משתמשים, הייתה עד היום "מעקף-סנקציות" מרכזי. פגיעה בה מערערת את האמון במנגנון כולו - והפעם מדובר בבורסה שנתפסה כ"גדולה מכדי ליפול".
אם קרן הביטוח של Nobitex לא תעמוד בהתחייבויותיה, עלול לפרוץ גל משיכות בהלה שיזעזע את כל תעשיית הקריפטו המקומית. מעבר לכך, הכתובת הלועגת שהשאירו ההאקרים והכרזה הפומבית של הקבוצה מצביעים על מניע אידאולוגי ולא רק על בצע כסף - חיבור ישיר להתכתשות הסייבר המתעצמת במזרח-התיכון.