A-Train The Seven
...'cause for once, I didn't hate myself.
Sàn giao dịch tiền điện tử Nobitex vừa trở thành tâm điểm một vụ tấn công mạng nghiêm trọng vào ngày 18/6/2025, hơn 90 triệu USD tài sản bị đánh cắp từ ví nóng của sàn. Nhóm hacker Predatory Sparrow (tên tiếng Ba Tư: Gonjeshke Darande) có liên kết với Israel đã nhận trách nhiệm, tuyên bố đây là hành động nhằm vào các hoạt động tài trợ khủng bố và trốn tránh lệnh trừng phạt quốc tế của Iran.
Điều đặc biệt là số tiền bị đánh cắp đã bị “đốt” – chuyển đến các ví blockchain không thể truy cập, khiến chúng trở nên vô giá trị.
Theo thông báo chính thức từ Nobitex trên X vào ngày 18/6/2025, sàn phát hiện truy cập trái phép vào cơ sở hạ tầng thông tin và ví nóng (hot wallets) – nơi lưu trữ một phần tài sản tiền điện tử của khách hàng để giao dịch tức thời. Nobitex đã ngay lập tức tạm dừng mọi hoạt động của website và ứng dụng, đồng thời cam kết bồi thường thiệt hại cho người dùng qua quỹ bảo hiểm và nguồn lực nội bộ.
Công ty phân tích blockchain Elliptic và TRM Labs xác nhận rằng ít nhất 90 triệu USD tiền điện tử, bao gồm Bitcoin, Ethereum, Tether (USDT), Dogecoin, Ripple, Solana, Tron, và TON, đã bị rút khỏi ví của Nobitex. Các giao dịch này thực hiện từ 6:00 sáng (giờ Iran) ngày 18/6/2025 và chuyển đến các vanity addresses (địa chỉ ví tùy chỉnh) chứa thông điệp chống chính phủ như “F*ckIRGCterrorists” (IRGC là Vệ binh Cách mạng Hồi giáo Iran). Những địa chỉ này được tạo bằng phương pháp “brute force” (tạo hàng loạt cặp khóa mật mã) khiến việc truy cập chúng bất khả thi, đồng nghĩa số tiền bị “đốt” – không thể sử dụng hay hoàn lại.
Nhà điều tra blockchainZachXBT báo cáo tổng giá trị ví của Nobitex giảm từ 1,8 tỷ USD (ngày 16/6/2025) xuống còn 96 triệu USD (ngày 18/6/2025), tương đương mức sụt giảm 95%. Một ví dụ về địa chỉ ví bị hack là TKFuckiRGCTerroristsNoBiTEXy2r7mNX trên mạng Tron với 48,65 triệu USD USDT bị đánh cắp.
Nhóm hacker Predatory Sparrow tự nhận trách nhiệm qua bài đăng trên X, cáo buộc Nobitex là “công cụ chính của chế độ Iran”để tài trợ khủng bố và trốn tránh lệnh trừng phạt quốc tế. Họ cũng đe dọa công khai mã nguồn và thông tin nội bộ của Nobitex trong vòng 24 giờ sau vụ tấn công, khiến bất kỳ tài sản nào còn lại trên sàn có nguy cơ bị xâm phạm thêm.
Predatory Sparrow không xa lạ với các cuộc tấn công nhằm vào cơ sở hạ tầng Iran. Chỉ một ngày trước (17/6/2025), nhóm này tuyên bố đã phá hủy dữ liệu của Ngân hàng Sepah thuộc sở hữu nhà nước có liên kết với IRGC, gây gián đoạn lớn tại các cây ATM trên khắp Iran. Theo CNN, người dân tại Tehran báo cáo không thể rút tiền từ 10 cây ATM trong hai ngày 17-18/6/2025. Các cuộc tấn công trước đây của nhóm bao gồm làm tê liệt hệ thống thanh toán trạm xăng (2021) và gây cháy tại một nhà máy thép Iran (2022).
Elliptic và Chainalysis xác nhận Nobitex có liên kết với IRGC và các tổ chức như Hamas, Palestine Islamic Jihad và Houthi, cũng như các cá nhân bị trừng phạt vì hoạt động ransomware như Ahmad Khatibi Aghada và Amir Hossein Niakeen Ravari. Nhóm hacker cho rằng Nobitex hỗ trợ Iran né tránh lệnh trừng phạt quốc tế, thậm chí việc làm việc tại Nobitex được xem là tương đương với nghĩa vụ quân sự ở Iran.
Nobitex đã phản hồi nhanh chóng, xác nhận vụ việc trên X và khẳng định các ví lạnh (cold wallets) – nơi lưu trữ phần lớn tài sản – không bị ảnh hưởng. Sàn đang làm việc với Cảnh sát Mạng Iran (FATA) để điều tra và cam kết bồi thường toàn bộ thiệt hại cho người dùng. Tuy nhiên, website và ứng dụng Nobitex vẫn ngừng hoạt động để xem xét toàn diện.
Vụ hack đã góp phần vào tâm lý tiêu cực trên thị trường tiền điện tử. Giá Bitcoin giảm xuống mức thấp trong ngày là 103.800 USD vào 18/6/2025, chịu ảnh hưởng từ căng thẳng Trung Đông. Tâm lý nhà đầu tư trên Stocktwits cho thấy Bitcoin ở trạng thái “bearish” (giảm giá) trong tuần qua.
So với các vụ hack khác trong năm 2025, như vụ 1,5 tỷ USD của sàn Bybit (Dubai) bởi nhóm Lazarus của Triều Tiên (21/2/2025), vụ Nobitex có quy mô nhỏ hơn nhưng nổi bật vì động cơ chính trị. Theo CertiK, tổng thiệt hại từ hơn 18 vụ hack tiền điện tử trong năm 2025 đã vượt 2,1 tỷ USD, chủ yếu do lỗi quản lý khóa và sơ hở kiểm soát truy cập.
Điều đặc biệt là số tiền bị đánh cắp đã bị “đốt” – chuyển đến các ví blockchain không thể truy cập, khiến chúng trở nên vô giá trị.
Hack sàn tiền ảo lớn nhất Iran
Theo thông báo chính thức từ Nobitex trên X vào ngày 18/6/2025, sàn phát hiện truy cập trái phép vào cơ sở hạ tầng thông tin và ví nóng (hot wallets) – nơi lưu trữ một phần tài sản tiền điện tử của khách hàng để giao dịch tức thời. Nobitex đã ngay lập tức tạm dừng mọi hoạt động của website và ứng dụng, đồng thời cam kết bồi thường thiệt hại cho người dùng qua quỹ bảo hiểm và nguồn lực nội bộ.
Công ty phân tích blockchain Elliptic và TRM Labs xác nhận rằng ít nhất 90 triệu USD tiền điện tử, bao gồm Bitcoin, Ethereum, Tether (USDT), Dogecoin, Ripple, Solana, Tron, và TON, đã bị rút khỏi ví của Nobitex. Các giao dịch này thực hiện từ 6:00 sáng (giờ Iran) ngày 18/6/2025 và chuyển đến các vanity addresses (địa chỉ ví tùy chỉnh) chứa thông điệp chống chính phủ như “F*ckIRGCterrorists” (IRGC là Vệ binh Cách mạng Hồi giáo Iran). Những địa chỉ này được tạo bằng phương pháp “brute force” (tạo hàng loạt cặp khóa mật mã) khiến việc truy cập chúng bất khả thi, đồng nghĩa số tiền bị “đốt” – không thể sử dụng hay hoàn lại.
Nhà điều tra blockchainZachXBT báo cáo tổng giá trị ví của Nobitex giảm từ 1,8 tỷ USD (ngày 16/6/2025) xuống còn 96 triệu USD (ngày 18/6/2025), tương đương mức sụt giảm 95%. Một ví dụ về địa chỉ ví bị hack là TKFuckiRGCTerroristsNoBiTEXy2r7mNX trên mạng Tron với 48,65 triệu USD USDT bị đánh cắp.
Động cơ chính trị
Nhóm hacker Predatory Sparrow tự nhận trách nhiệm qua bài đăng trên X, cáo buộc Nobitex là “công cụ chính của chế độ Iran”để tài trợ khủng bố và trốn tránh lệnh trừng phạt quốc tế. Họ cũng đe dọa công khai mã nguồn và thông tin nội bộ của Nobitex trong vòng 24 giờ sau vụ tấn công, khiến bất kỳ tài sản nào còn lại trên sàn có nguy cơ bị xâm phạm thêm.
Predatory Sparrow không xa lạ với các cuộc tấn công nhằm vào cơ sở hạ tầng Iran. Chỉ một ngày trước (17/6/2025), nhóm này tuyên bố đã phá hủy dữ liệu của Ngân hàng Sepah thuộc sở hữu nhà nước có liên kết với IRGC, gây gián đoạn lớn tại các cây ATM trên khắp Iran. Theo CNN, người dân tại Tehran báo cáo không thể rút tiền từ 10 cây ATM trong hai ngày 17-18/6/2025. Các cuộc tấn công trước đây của nhóm bao gồm làm tê liệt hệ thống thanh toán trạm xăng (2021) và gây cháy tại một nhà máy thép Iran (2022).
Elliptic và Chainalysis xác nhận Nobitex có liên kết với IRGC và các tổ chức như Hamas, Palestine Islamic Jihad và Houthi, cũng như các cá nhân bị trừng phạt vì hoạt động ransomware như Ahmad Khatibi Aghada và Amir Hossein Niakeen Ravari. Nhóm hacker cho rằng Nobitex hỗ trợ Iran né tránh lệnh trừng phạt quốc tế, thậm chí việc làm việc tại Nobitex được xem là tương đương với nghĩa vụ quân sự ở Iran.
Phản hồi của Nobitex
Nobitex đã phản hồi nhanh chóng, xác nhận vụ việc trên X và khẳng định các ví lạnh (cold wallets) – nơi lưu trữ phần lớn tài sản – không bị ảnh hưởng. Sàn đang làm việc với Cảnh sát Mạng Iran (FATA) để điều tra và cam kết bồi thường toàn bộ thiệt hại cho người dùng. Tuy nhiên, website và ứng dụng Nobitex vẫn ngừng hoạt động để xem xét toàn diện.
Vụ hack đã góp phần vào tâm lý tiêu cực trên thị trường tiền điện tử. Giá Bitcoin giảm xuống mức thấp trong ngày là 103.800 USD vào 18/6/2025, chịu ảnh hưởng từ căng thẳng Trung Đông. Tâm lý nhà đầu tư trên Stocktwits cho thấy Bitcoin ở trạng thái “bearish” (giảm giá) trong tuần qua.
So với các vụ hack khác trong năm 2025, như vụ 1,5 tỷ USD của sàn Bybit (Dubai) bởi nhóm Lazarus của Triều Tiên (21/2/2025), vụ Nobitex có quy mô nhỏ hơn nhưng nổi bật vì động cơ chính trị. Theo CertiK, tổng thiệt hại từ hơn 18 vụ hack tiền điện tử trong năm 2025 đã vượt 2,1 tỷ USD, chủ yếu do lỗi quản lý khóa và sơ hở kiểm soát truy cập.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview