Mạng xã hội kinh tế tài chính DFF Mạng xã hội kinh tế tài chính DFF Mạng xã hội kinh tế tài chính DFF

Nobitex - sàn giao dịch crypto lớn nhất của Iran - bị nhóm hacker Israel "cuỗm" 90 triệu USD

18:28 19/06/2025

Vụ tấn công vào sàn giao dịch tiền mã hóa Nobitex của Iran vào ngày 18/6/2025 là một trong những sự kiện nổi bật trong bối cảnh xung đột số giữa Iran và Israel, với nhóm hacker “Predatory Sparrow” (Gonjeshke Darande) tự nhận trách nhiệm.

Dưới đây là chi tiết mở rộng về vụ việc, bao gồm bối cảnh, diễn biến, tác động, và ý nghĩa địa chính trị:

1. Bối cảnh vụ tấn công

▪️Nobitex và vai trò trong nền kinh tế Iran: Nobitex là sàn giao dịch tiền mã hóa lớn nhất Iran, tuyên bố có hơn 7-10 triệu người dùng. Đây là nền tảng quan trọng giúp Iran vượt qua các lệnh trừng phạt quốc tế, chuyển đổi tài sản nội địa thành tài sản toàn cầu, và hỗ trợ các giao dịch tài chính trong bối cảnh hệ thống ngân hàng truyền thống bị hạn chế.

Các báo cáo từ Elliptic và Chainalysis cho thấy Nobitex có liên kết với Vệ binh Cách mạng Hồi giáo (IRGC), các nhóm như Hamas, Houthi, và Palestinian Islamic Jihad, cũng như các hoạt động ransomware bị trừng phạt.

▪️Xung đột Israel-Iran: Vụ tấn công diễn ra trong bối cảnh căng thẳng quân sự leo thang giữa Israel và Iran, với các cuộc không kích và đáp trả bằng tên lửa từ ngày 13/6/2025.

Predatory Sparrow, được cho là có liên hệ với tình báo Israel (dù chưa có xác nhận chính thức), đã thực hiện các cuộc tấn công mạng nhằm vào cơ sở hạ tầng tài chính của Iran, bao gồm Ngân hàng Sepah thuộc IRGC một ngày trước đó (17/6/2025).

▪️Predatory Sparrow: Nhóm hacker này, xuất hiện từ năm 2021, nổi tiếng với các cuộc tấn công phá hoại nhằm vào cơ sở hạ tầng Iran, như hệ thống trạm xăng (2021), nhà máy thép, và gần đây là Ngân hàng Sepah. Họ thường để lại các thông điệp chống IRGC và nhắm vào các mục tiêu được cho là hỗ trợ tài trợ khủng bố hoặc né trừng phạt.

2. Diễn biến vụ tấn công

Thời điểm và quy mô: Vụ tấn công bắt đầu khoảng 6:00 sáng giờ Iran (28/3/1404 theo lịch Iran) ngày 18/6/2025. Hacker đã khai thác lỗ hổng kiểm soát truy cập (access control failures) để xâm nhập hệ thống nội bộ và rút hơn 90 triệu USD từ các ví nóng của Nobitex trên nhiều blockchain, bao gồm:

▪️49,3 triệu USD trên mạng TRON.

▪️24,3 triệu USD trên các chuỗi tương thích EVM (Ethereum Virtual Machine).

▪️2 triệu USD Bitcoin.

▪️6,7 triệu USD Dogecoin.

▪️Ngoài ra còn có Ethereum, Ripple, Solana, TON, và hơn 20 token khác.

Phương thức tấn công: Hacker sử dụng các địa chỉ ví “vanity” (địa chỉ tùy chỉnh) chứa thông điệp khiêu khích như “TKFuckiRGCTerroristsNoBiTEXy2r7mNX” và “0xffFFfFFffFFffFfFffFFfFfFfFFFFfFfFFFFDead”. Những địa chỉ này được tạo mà không có khóa riêng (private key) hoặc khóa bị hủy, khiến số tiền bị “đốt” (burned), tức là không thể truy cập hay sử dụng. Đây là hành động mang tính biểu tượng, nhằm phá hoại hơn là trục lợi tài chính.

Thông điệp chính trị: Predatory Sparrow cáo buộc Nobitex là công cụ trọng yếu của chính quyền Iran để tài trợ khủng bố toàn cầu và né tránh trừng phạt. Họ đe dọa công bố mã nguồn và dữ liệu nội bộ của Nobitex trong vòng 24 giờ, đồng thời cảnh báo người dùng rút tài sản khỏi sàn để tránh rủi ro.

Phản ứng của Nobitex:

▪️Sàn ngay lập tức xác nhận vụ “xâm nhập trái phép” vào ví nóng và hệ thống thông báo, tạm ngừng mọi truy cập và đưa website cùng ứng dụng ngoại tuyến để điều tra.

▪️Nobitex cam kết bồi thường toàn bộ thiệt hại bằng quỹ bảo hiểm và nguồn lực nội bộ, đồng thời khẳng định tài sản trong ví lạnh (cold wallets) vẫn an toàn.

▪️Họ hợp tác với Cảnh sát Không gian mạng Iran (FATA) và các cơ quan khác để truy tìm tài sản bị đánh cắp, đồng thời chuyển các ví nóng sang ví lạnh mới để tăng cường bảo mật.

Hacker Israel sử dụng các địa chỉ ví “vanity” (địa chỉ tùy chỉnh) chứa thông điệp khiêu khích

3. Tác động tức thời

▪️Tài chính: Tổng thiệt hại ước tính từ 81,7 triệu USD (theo ZachXBT) đến hơn 90 triệu USD (theo Elliptic, Chainalysis, TRM Labs). Giá trị ví gắn nhãn Nobitex trên nền tảng phân tích Arkham giảm 90%, từ 1,8 tỷ USD (16/6) xuống 96 triệu USD (18/6).

▪️Hạ tầng kỹ thuật số Iran: Vụ tấn công gây gián đoạn lớn cho hệ thống tài chính số của Iran. Website và ứng dụng Nobitex ngừng hoạt động, ảnh hưởng đến hàng triệu người dùng. Một số báo cáo ghi nhận tình trạng mất kết nối internet gần như hoàn toàn tại Iran, với lưu lượng mạng giảm 98% so với tuần trước, theo Cloudflare.

▪️Người dùng thường: Dù Predatory Sparrow tuyên bố nhắm vào IRGC, nhiều người dân Iran phụ thuộc vào Nobitex để bảo vệ tài sản trước lạm phát và trừng phạt. Vụ tấn công gây thiệt hại cho các nhà đầu tư cá nhân, làm gia tăng hoảng loạn trong bối cảnh chiến tranh.

▪️Phản ứng của chính phủ Iran: Ngân hàng Trung ương Iran áp đặt lệnh giới nghiêm hoạt động cho các sàn giao dịch tiền mã hóa trong nước, giới hạn giờ giao dịch từ 10:00 sáng đến 8:00 tối, nhằm kiểm soát rủi ro hệ thống và ổn định thị trường.

4. Ý nghĩa địa chính trị và chiến tranh mạng

▪️Chiến tranh số Israel-Iran: Vụ tấn công đánh dấu sự chuyển dịch từ các cuộc tấn công vật lý sang chiến trường blockchain, nơi các ví tiền mã hóa trở thành mục tiêu chiến lược. Predatory Sparrow tận dụng công nghệ blockchain để gửi thông điệp công khai qua các địa chỉ ví, biến vụ hack thành một hành động tuyên truyền.

▪️Tấn công phá hoại hơn là trục lợi: Việc “đốt” 90 triệu USD thay vì chuyển tiền cho thấy mục tiêu chính là làm suy yếu nền kinh tế số của Iran, đặc biệt là các cơ quan như IRGC, vốn bị cáo buộc sử dụng Nobitex để rửa tiền và tài trợ các nhóm vũ trang.

▪️Tác động đến thị trường crypto toàn cầu: Vụ việc nằm trong chuỗi 18 vụ hack lớn trong năm 2025, với tổng thiệt hại toàn ngành vượt 2,1 tỷ USD, chủ yếu do lỗi ví, quản lý khóa, và lừa đảo kỹ thuật xã hội. Nó nhấn mạnh rủi ro bảo mật của các ví nóng và vai trò ngày càng lớn của tiền mã hóa trong các xung đột địa chính trị.

▪️Câu hỏi về Predatory Sparrow: Dù không có bằng chứng trực tiếp liên kết nhóm này với Israel, các nhà phân tích như Rafe Pilling (Sophos) cho rằng Predatory Sparrow mang dấu hiệu của một nhóm được nhà nước hậu thuẫn, có thể thuộc đơn vị tình báo mạng Israel như Unit 8200. Các hành động của họ thường trùng hợp với các sự kiện địa chính trị, củng cố giả thuyết này.

Tuyên bố của Predatory Sparrow

5. Phân tích kỹ thuật và bảo mật

▪️Lỗ hổng bảo mật: Theo Cyvers, vụ tấn công xuất phát từ lỗi kiểm soát truy cập, cho phép hacker xâm nhập hệ thống nội bộ và rút tiền từ ví nóng trên nhiều blockchain. Điều đáng chú ý là số tiền bị đánh cắp vẫn chưa được di chuyển khỏi các ví ban đầu, cho thấy ý định phá hoại hơn là trục lợi.

▪️“Đốt” tiền trên blockchain: Các địa chỉ ví vanity như “F*ckIRGCTerrorists” được tạo ra với chi phí tính toán khổng lồ, không thể truy cập bằng công nghệ hiện tại. Điều này cho thấy mức độ tinh vi và nguồn lực lớn của nhóm hacker, đồng thời là một hình thức phá hoại tài chính độc đáo.

▪️Khả năng phục hồi: Một số nhà phân tích, như Yehor Rudytsia (Hacken), cho rằng chỉ có thể khôi phục một phần tài sản nếu các công ty phát hành stablecoin (như USDT) tái phát hành 55 triệu USD stablecoin bị đánh cắp. Tuy nhiên, điều này khó xảy ra do bản chất phi tập trung của blockchain.

6. Phản ứng và triển vọng tương lai

Từ Nobitex: Sàn đang nỗ lực khôi phục dịch vụ, tăng cường bảo mật, và cam kết bồi thường. Tuy nhiên, việc website và ứng dụng vẫn ngoại tuyến (tính đến 19/6/2025) cho thấy thách thức lớn trong việc khắc phục.

Từ cộng đồng quốc tế: Các công ty phân tích blockchain như Elliptic, Chainalysis, và TRM Labs đang theo dõi chặt chẽ các luồng tài sản liên quan đến Iran, cập nhật công cụ tuân thủ để phát hiện rủi ro tài trợ khủng bố và né trừng phạt.

Tác động dài hạn: Iran có thể tăng cường cách ly mạng (internet isolation) để bảo vệ cơ sở hạ tầng số, nhưng điều này có thể làm giảm khả năng tiếp cận tài chính toàn cầu của người dân.

Các sàn giao dịch tiền mã hóa trên toàn cầu sẽ phải xem xét lại bảo mật ví nóng, đặc biệt khi chúng trở thành mục tiêu trong các cuộc chiến tranh mạng.

Vụ việc có thể thúc đẩy các quy định quốc tế chặt chẽ hơn về tiền mã hóa, đặc biệt liên quan đến các sàn giao dịch bị cáo buộc hỗ trợ né trừng phạt.

7. Nguồn thông tin và lưu ý

Các thông tin trên được tổng hợp từ nhiều nguồn uy tín, bao gồm báo cáo của Elliptic, Chainalysis, TRM Labs, Cyvers, và các bài viết từ CNBC, The Guardian, Reuters, Wired, và Crypto.news.

Các bài đăng trên X từ tài khoản chính thức của Nobitex (@nobitexmarket) cung cấp thông tin cập nhật về phản ứng của sàn, nhưng không tiết lộ chi tiết về thiệt hại hoặc nguyên nhân.

Do tính chất nhạy cảm và chưa đầy đủ của thông tin, một số khía cạnh (như chi tiết kỹ thuật của lỗ hổng hoặc danh tính thực sự của Predatory Sparrow) vẫn cần được xác minh thêm.

Kết luận

Vụ tấn công Nobitex là một cột mốc quan trọng trong chiến tranh mạng hiện đại, cho thấy tiền mã hóa không chỉ là công cụ tài chính mà còn là vũ khí trong các cuộc xung đột địa chính trị. Với hơn 90 triệu USD bị “đốt” và thông điệp chống IRGC được ghi trực tiếp trên blockchain, Predatory Sparrow đã biến vụ hack thành một tuyên ngôn chính trị mạnh mẽ. Trong khi Nobitex cố gắng khắc phục và Iran tìm cách ổn định nền kinh tế số, vụ việc này sẽ tiếp tục để lại dư âm lớn, cả về mặt kỹ thuật lẫn chính trị.