On-Chain Data Naglalantad ng Totoong Kwento sa $90 Million Nobitex Hack ng Iran

Ang $90 million na hack sa pinakamalaking crypto exchange ng Iran, ang Nobitex, ay naging usap-usapan sa buong mundo. Pero ayon sa bagong lumabas na blockchain data, may mas malalim pa itong naibunyag.

Ayon sa forensic report ng blockchain intelligence firm na Global Ledger, ilang buwan bago ang atake noong June 18, sistematikong inilipat ng Nobitex ang pondo ng mga user gamit ang mga teknik na karaniwang konektado sa pagla-launder ng pera.

Nagla-launder Ba ng Pondo ng Users ang Nobitex ng Iran Bago ang Hack?

Ipinapakita ng on-chain data na gumamit ang Nobitex ng method na tinatawag na peelchaining. Ito ay kung saan hinahati ang malaking halaga ng Bitcoin sa mas maliliit na bahagi at idinadaan sa mga panandaliang wallet.

Pinapahirap ng teknik na ito ang pag-trace ng pondo at madalas ginagamit para itago ang pinagmulan ng pera. Sa kaso ng Nobitex, nakita ng mga analyst ang pattern ng BTC na umiikot sa consistent na 30-coin chunks.

Nalaman din ng Global Ledger na gumamit ang Nobitex ng temporary deposit at withdrawal addresses—isang behavior na kilala bilang chip-off transactions. Ang mga one-use addresses na ito ay nagfu-funnel ng BTC sa mga bagong wallet, tinatago ang liquidity trails.

“Rescue Wallet” Hindi na Bago

Pagkatapos ng hack, sinabi ng Nobitex na inilipat nila ang natitirang pondo bilang safety measure. Ipinakita ng on-chain activity ang 1,801 BTC sweep (na nagkakahalaga ng ~$187.5 million) papunta sa bagong likhang wallet.

Pero hindi ito bagong wallet. Ang blockchain data ay nag-trace ng historical use nito pabalik sa October 2024. Matagal nang nangongolekta ang wallet na ito ng chipped-off funds.

Ang “rescue wallet” na ito ay nakatanggap ng maraming 20–30 BTC transfers na sumusunod sa parehong laundering-like patterns, kahit bago pa mangyari ang hack.

Post-Hack Activity Nagpapakita ng Patuloy na Kontrol

Ilang oras pagkatapos ng breach, inilipat ng Nobitex ang pondo mula sa kanilang exposed hot wallet papunta sa isa pang internal address. Ang full-balance sweep na ito ay nagpapakita na hawak pa rin ng Nobitex ang operational control.

Noong June 19, nakita ng mga imbestigador ang 1,783 BTC na inilipat muli sa bagong destination wallet. Ito ay tumutugma sa pampublikong pahayag ng Nobitex na sinisiguro ang kanilang assets—pero ngayon may dagdag na konteksto.

Ipinapakita ng mga galaw na imbes na reaksyon sa hack, parang sinusunod lang ng Nobitex ang kanilang pre-existing money laundering playbook.

Ang pro-Israel hacking group na Gonjeshke Darande ay naglabas ng mga file na naglalantad sa internal wallet structure ng Nobitex.

Maaaring nagulat ang mga user sa hack, pero ipinapakita ng blockchain data na matagal nang ginagawa ng Nobitex ang ganitong paggalaw ng pondo.

Ang mga lumang wallet na konektado sa exchange ay regular na nagpapadala ng Bitcoin sa mga bagong wallet. Mula doon, ang pondo ay hinahati sa mas maliliit na halaga at inilipat muli—madalas sa chunks ng 20 o 30 BTC.

Pinapahirap ng method na ito ang pag-track kung saan napupunta ang pera. Parang ganito rin ang ginagawa ng iba para itago ang kanilang mga galaw kapag naglilipat ng pondo sa crypto.

Ang mahalaga ay hindi ito sinimulan ng Nobitex pagkatapos ng hack. Matagal na nila itong ginagawa, at patuloy pa rin nila itong ginagawa pagkatapos—parang standard procedure na ito para sa kanila.

Isang wallet sa partikular—bc1q…rrzq—ang paulit-ulit na lumilitaw. Tumanggap ito ng maraming user deposits at mukhang ito ang starting point para sa marami sa mga mahirap i-trace na paggalaw ng pondo.

Sa madaling salita, hindi nagbago ang paraan ng Nobitex sa paghawak ng pondo dahil sa hack. Ang nangyari ay naibunyag lang sa publiko ang ongoing na behind-the-scenes activity.