Hackningen av Irans största kryptobörs, Nobitex, på 90 miljoner USD blev en global nyhet. Men ny blockchain-data visar att intrånget avslöjade något större.
En forensisk rapport från blockchain-intelligensföretaget Global Ledger fann att månader före attacken den 18 juni flyttade Nobitex systematiskt användarfonder med tekniker som ofta förknippas med penningtvätt.
Tvättade Irans Nobitex Exchange användarfonder innan hackningen?
On-chain-data visar att Nobitex använde en metod kallad peelchaining. Detta är när stora mängder Bitcoin delas upp i mindre delar och skickas genom kortlivade plånböcker.
Tekniken gör det svårt att spåra fonder och används ofta för att dölja pengars ursprung. I Nobitex fall fann analytiker ett mönster där BTC cyklades i konsekventa 30-myntsdelar.
Global Ledger fann också att Nobitex använde tillfälliga insättnings- och uttagsadresser—ett beteende känt som chip-off-transaktioner. Dessa engångsadresser leder BTC till nya plånböcker och döljer likviditetsspår.
“Rescue Wallet” var inte ny
Efter hackningen hävdade Nobitex att de flyttade kvarvarande fonder som en säkerhetsåtgärd. On-chain-aktivitet visade en svepning av 1 801 BTC (värd ~187,5 miljoner USD) till en ny plånbok.
Men denna plånbok var inte ny. Blockchain-data spårar dess historiska användning tillbaka till oktober 2024. Plånboken hade länge samlat in chipped-off-fonder.
Denna “räddningsplånbok” tog emot flera överföringar på 20–30 BTC som följde samma penningtvättsliknande mönster, även innan hackningen inträffade.
Aktivitet efter hack visar fortsatt kontroll
Timmar efter intrånget flyttade Nobitex fonder från sin exponerade hot wallet till en annan intern adress. Denna fullständiga balanssvepning indikerade att Nobitex behöll operativ kontroll.
Den 19 juni observerade utredare att 1 783 BTC återigen överfördes till en ny destinationsplånbok. Detta matchade Nobitex offentliga påstående om att säkra sina tillgångar—men nu med ytterligare kontext.
Flödena tyder på att istället för att reagera på hackningen, följde Nobitex helt enkelt sin befintliga penningtvättsstrategi.
Den pro-israeliska hackargruppen Gonjeshke Darande publicerade filer som avslöjade Nobitex interna plånboksstruktur.
Hackningen kan ha chockat användare, men blockchain-data visar att Nobitex redan hade flyttat fonder på detta sätt i månader.
Gamla plånböcker kopplade till börsen skickade regelbundet Bitcoin till nya plånböcker. Därifrån delades fonderna upp i mindre belopp och flyttades igen och igen—ofta i delar om 20 eller 30 BTC.
Denna metod gör det svårare att spåra var pengarna hamnar. Det liknar hur vissa människor döljer sina spår när de flyttar fonder genom krypto.
Det viktiga är att detta inte var något Nobitex började med efter hackningen. De hade gjort det långt innan, och de fortsatte efteråt—nästan som om det var standardprocedur.
En plånbok i synnerhet—bc1q…rrzq—dyker upp gång på gång. Den tog emot många användardepositioner och verkar vara startpunkten för många av dessa svårspårade fondrörelser.
Sammanfattningsvis orsakade inte hackningen att Nobitex ändrade hur de hanterade fonder. Det förde helt enkelt pågående bakom-kulisserna-aktivitet till allmänhetens ögon.
Disclaimer
All information på vår webbplats publiceras i god tro och endast för allmän information. Varje åtgärd som läsaren vidtar baserat på informationen på vår webbplats sker strikt på egen risk.
