Uma plataforma de negociação no Irão sofreu um grande ataque de Hacker, quase 100 milhões de dólares em fundos foram roubados

No dia 18 de junho de 2025, um detetive on-chain revelou que a maior plataforma de criptomoedas do Irão estaria supostamente a sofrer um ataque de Hacker, envolvendo transferências anómalas de grandes ativos em várias blockchains.

A equipe de segurança confirmou ainda mais que os ativos afetados no incidente abrangem as redes TRON, EVM e BTC, com uma estimativa inicial de perda de aproximadamente 8,17 milhões de dólares.

A plataforma de negociação também emitiu um comunicado confirmando que parte da infraestrutura e das carteiras quentes realmente sofreram acesso não autorizado, mas enfatizou que a segurança dos fundos dos usuários está garantida.

É importante notar que os atacantes não apenas transferiram fundos, mas também enviaram ativamente uma grande quantidade de ativos para um endereço de destruição específico, com o valor dos ativos "queimados" a rondar os 100 milhões de dólares.

Linha do tempo do evento

18 de junho

• O detetive on-chain revelou que uma plataforma de negociação de criptomoedas no Irão pode ter sido alvo de um ataque de Hacker, com um grande número de transações de saída suspeitas ocorrendo na cadeia TRON. A equipe de segurança confirmou ainda que o ataque envolve várias cadeias, com uma perda inicial estimada em cerca de 8,170 milhões de dólares.
• A plataforma informou que a equipe técnica detectou que parte da infraestrutura e das carteiras quentes foram alvo de acesso ilegal, tendo imediatamente cortado as interfaces externas e iniciado uma investigação. A grande maioria dos ativos armazenados em carteiras frias não foi afetada, e esta invasão limitou-se apenas a algumas carteiras quentes utilizadas para a liquidez diária.
• Um hacker organizado declarou-se responsável pelo ataque e anunciou que irá divulgar o código-fonte e os dados internos da plataforma dentro de 24 horas.

19 de junho

• A plataforma publicou a quarta declaração, afirmando que bloqueou completamente os caminhos de acesso externo ao servidor, e que as transferências da carteira quente são "migracões proativas feitas pela equipe de segurança para garantir os fundos". Ao mesmo tempo, a oficial confirmou que os ativos roubados foram transferidos para algumas carteiras com endereços não padrão compostos por caracteres arbitrários, que foram usadas para destruir os ativos dos usuários, totalizando cerca de 100 milhões de dólares.
• Hacker organização afirmou ter queimado aproximadamente 9 milhões de dólares em ativos criptográficos, chamando-os de "ferramenta de evasão de sanções".
• Hacker organização revelou o código-fonte da plataforma.

Informação de código fonte

De acordo com as informações do código-fonte divulgadas pelo atacante, o sistema central da plataforma é principalmente escrito em Python e utiliza K8s para implantação e gerenciamento. Com base nas informações conhecidas, suspeita-se que o atacante possa ter ultrapassado a fronteira de operações e manutenção, permitindo-lhe entrar na rede interna.

Análise do fluxo de capital

Os atacantes utilizaram vários "endereços de destruição" que parecem legítimos, mas são incontroláveis para receber ativos. A maioria desses endereços cumpre as regras de verificação de formato de endereço on-chain e consegue receber ativos com sucesso, mas assim que os fundos são transferidos, isso equivale a uma destruição permanente. Ao mesmo tempo, esses endereços também contêm palavras emocionais e provocativas, com um significado agressivo.

De acordo com a análise das ferramentas de combate à lavagem de dinheiro e rastreamento em blockchain, os atacantes realizaram um grande número de transações em várias redes de blockchain, envolvendo ativos como USDT, TRX, BTC, ETH, BSC, DOGE, SOL e várias outras criptomoedas.

Sugestões de segurança

Este incidente lembra novamente a indústria: a segurança é um todo, a plataforma deve reforçar ainda mais a proteção de segurança, adotando mecanismos de defesa mais avançados, especialmente para plataformas que utilizam carteiras quentes para operações diárias, recomenda-se:

• Isolar rigorosamente as permissões e caminhos de acesso das carteiras frias e quentes, auditar regularmente as permissões de chamada da carteira quente;
• Adotar um sistema de monitoramento em tempo real na blockchain, obtendo informações abrangentes sobre ameaças e monitoramento de segurança dinâmico em tempo hábil;
• Em colaboração com o sistema de combate à lavagem de dinheiro em blockchain, detectar rapidamente fluxos de fundos anormais;
• Reforçar os mecanismos de resposta a emergências, garantindo que, após um ataque, se possa responder de forma eficaz dentro da janela de oportunidade.

A investigação sobre o incidente ainda está em andamento, a equipe de segurança continuará a acompanhar e atualizará o progresso em tempo útil.