اطلاعات رسیده به ایراناینترنشنال نشان میدهد در جریان هک صرافی «نوبیتکس»، مهاجمان توانستند داراییهای شبکه وابسته به جمهوریاسلامی را از دارایی مشتریان عادی متمایز کنند. هکرها میگویند نوبیتکس تحریم را دور میزد، اما مدیران شرکت میگویند این یک شرکت استارتآپی است.
۲۸ خرداد، در حالی که جنگ ۱۲ روزه اسرائیل و جمهوریاسلامی در جریان بود، گروه «گنجشک درنده» که به اسرائیل منسوب است، از هک صرافی «نوبیتکس» خبر داد.
پیش از آن، برخی مشتریان این صرافی گزارش کرده بودند پیامهایی در پیامرسانهایی مانند اپلیکیشنهای معاملات و تلگرام دریافت کردند که در آن، به آنها هشدار داده شده بود دارایی خود را از صرافی نوبیتکس خارج کنند.
این حمله یک روز پس از هک بانک سپه رخ داد؛ بانک عامل نیروهای مسلح جمهوری اسلامی که پشتیبانی مالی سپاه پاسداران انقلاب اسلامی و سایر نیروهای مسلح را انجام میدهد.
گروه گنجشک درنده اعلام کرد پلتفرم نوبیتکس «نقش موثری در دور زدن تحریمها و تامین مالی فعالیتهای تروریستی جمهوری اسلامی از طریق ارز دیجیتال» ایفا کرده است.
برخی از مبالغ نابود شده، به کیف پولی واریز شدند که عنوان آن حاوی عبارتی اعتراضی علیه سپاه پاسداران انقلاب اسلامی بود.
نوبیتکس توسط چه کسانی اداره میشود؟
در وبسایت رسمی، این صرافی دیجیتال، خود را این طور معرفی کرده است: «نوبیتکس با هدف رفع نیاز کاربران ایرانی برای مبادله دارایی های دیجیتال در تابستان ۱۳۹۶ شکل گرفت…. هسته اولیه تیم در باشگاه کارآفرینی تیوان استقرار یافت. به تدریج و با افزوده شدن نفراتی با تخصصهای مختلف، تیم بزرگتر شد.»
با اینحال، بررسی اسناد رسمی نشان میدهد نوبیتکس متعلق به شرکت «راهکار فناوری نویان» است که در تیر ۱۳۹۷ تاسیس شده است.
از مرداد ۱۳۹۸، محمدباقر نحوی به عنوان رئیس هیات مدیره شرکت «راهکار فناوری نویان»، وارد آن شده است. نحوی از زمان تاسیس شرکت «خدمات فرودگاهی سفیران» در سال ۱۳۷۲ تا آذر ۱۴۰۱، به عنوان شخص حقیقی یا حقوقی، در هیات مدیره این شرکت حضور داشته است.
ایالات متحده آمریکا این شرکت را در شهریور ۱۴۰۱ تحریم کرد. بعد از آن در آذر ۱۴۰۱ دولت کانادا و در اردیبهشت ۱۴۰۲، دولت نیوزلند، نوبیتکس به دلیل همکاری تسلیحاتی با روسیه و انتقال پهپاد به این کشور در جریان جنگ اوکراین، تحریم کردند.
کیفپولهای سرد و گرم، هر دو نابود شدند
مدیران نوبیتکس اعلام کردند حدود ۹۰ میلیون دلار رمزارز نابود شده، تنها مربوط به کیفهای پول گرم بودند. با اینحال یک منبع آگاه به ایرانانترنشنال خبر داد کیفپولهای گرم و سرد هر دو نابود شدند.
کیف پول گرم (Hot Wallet) به کیف پولهای دیجیتالی متصل به اینترنت گفته میشود که برای معاملات سریع و دسترسی آسان مناسباند، اما به دلیل آنلاین بودن، در معرض هک و حملات سایبری هستند.
کیف پول سرد (Cold Wallet) مانند سختافزار یا کاغذ آفلاین است و امنیت بالاتری دارد، ولی استفاده از آن برای معاملات روزمره کندتر و پیچیدهتر است.
سحر تحویلی، پژوهشگر در حوزه فناوری اطلاعات و هوش مصنوعی در گفتوگو با ایران اینترنشنال گفت به باور او هدف حمله، کیفپولهای گرم این صرافی بوده است.
مهدی صارمیفر، روزنامهنگار علمو تکنولوژی هم درگفتوگو با ایراناینترنشنال با بیان اینکه، تشخیص اینکه داراییهای نابود شده متعلق به کیفهای سرد بوده یا گرم، از روی الگوهای تراکنش و دادههای عمومی بلاکچین که آدرس آنها را شرکتهای تحلیل بلاکچین برچسبگذاری میکنند، مشخص میشود، گفت: «در جریان هک نوبیتکس، خروج داراییها دقیقا از آدرسهای پرتواتر که عموما مربوط به کیفهای گرم است، رخ داد و به آدرسهای سوخته منتقل شد.»
بازاری به بزرگی ۱۱ میلیارد دلار برای تامین مالی گروههای نیابتی
بزرگی بازار رمز ارز ایران، بین ۵ تا ۱۲ میلیارد دلار تخمین زده میشود. سحر تحویلی معتقد است علت توجه شهروندان ایرانی به بازار رمز ارز را کاهش پیدرپی ریال میداند.
حدود ۸۷ درصد از گردش مالی بازار رمز ارز در ایران را نوبیتکس انجام میدهد. صارمیفر در خصوص اهمیت این بازار برای جمهوریاسلامی گفت: در دوره مسئولیت محسن رضایی که از آذر ۱۴۰۰ نماینده دولت رئیسی در حوزه رمز ارز ها بود، دولت مقرراتی تدوین کرد که هدف آن «استفاده از رمزارز برای دور زدن تحریمها و تامین مالی گروههای نیابتی بود.»
صارمیفر کاهش ۱۰ درصدی هشریت بیتکوین در جریان جنگ ۱۲ روزه پس از قطع اینترنت در ایران را نشانه دیگری از ورود سازمان یافته نهادهای قدرت به این بازار، میداند.
هدف: وفاداری نیروهای امنیتی جمهوریاسلامی
به اعتقاد سحر تحویلی، سورسکد و مستندات داخلی نوبیتکس که گروه گنجشک درنده افشا کرده است، نشان میدهند این صرافی با ساختاری پیچیده طراحی شده تا در شرایط تحریم بهخوبی کار کند و احتمالا در کمک به دور زدن تحریمها نقش داشته است.
والاستریت ژورنال، ۲۹ تیر در گزارشی از هک نوبیتکس در ایران، تایید کرد هدف «گنجشکهای درنده» شناسایی داراییهایی بوده که سپاه پاسداران از آنها برای عملیات روزانهاش استفاده میکرد. در این گزارش آمده است این حملهها با قطع دسترسی نیروهای امنیتی به پولهایشان، «مشروعیت جمهوریاسلامی نزد نیروهای وفادارش» را هدف گرفت.
مایکل دوران، تحلیلگر برجسته سیاست خارجی آمریکا و زینب ریبوا، پژوهشگر و همکار دوران در مرکز صلح و امنیت خاورمیانه در گفتوگو با والاستریت ژورنال این نفوذ را حاوی یک پیام روشن میدانند: «زیرساخت مالی جمهوری اسلامی تنها تا زمانی پابرجاست که دولت اسرائیل اجازه دهد.»
سحر تحویلی هم با اشاره به اسنادی که هکرها از ساختار نوبیتکس افشا کردند، گفت: «آنها توانستند بین داراییهای نهادهای حکومتی از مردم عادی تمایز قائل شوند، اما هویت فردی اشخاص لزوما شناسایی نشده است.»
حمله CNA به سرورهای نوبیتکس
با وجود اعلام رسمی نوبیتکس مبنی به بازگرداندن اطلاعات مشتریان، بسیاری از مشتریان نوبیتکس از اشتباه در بازگرداندن اطلاعاتشان در شبکههای اجتماعی نوشتند.
یک منبع آگاه در گفتوگو با ایراناینترنشنال گفت این موضوع به این دلیل رخ داده که علاوه بر نابودی رمزارزها، مشابه حمله به بانک سپه، یک حمله CNA نیز به سرورهای شرکت انجام شده است که باعث از کار افتادن آنها و حذف اطلاعات حیاتی صرافی شد، از جمله پایگاهدادههای مربوط به داراییهای مشتریان.
صارمیفر با اشاره یه اینکه شرکتهای امنیتی دسترسی هکرها به سرورها و اطلاعات فنی سطح بالا را در جریان حمله به نوبیتکس تائید کردهاند گفت: «اما چیزی تحت عنوان CNA کامل یعنی نابودی یا تغییر دادهها، بهطور مستقل تایید نشده است.»
سحر تحویلی با بیان اینکه نمیتواند حمله CNA را تایید یا رد کند، گفت: «اگر چنین ادعایی واقعی باشد و نوبیتکس بکآپ اطلاعات را در دست نداشته باشد، اطلاعات مشتریان قابل بازگشت نخواهد بود.»
صارمیفر هم معتقد است در صورت واقعیت داشتن حمله CNA، علاوه بر سرقت دارایی، دادههای داخلی شرکت هم تخریب یا دستکاری شدهاند اما در هر حال اطلاعات کاربران از دست نخواهد رفت، چراکه کلیدهای خصوصی و داراییها در بلاکچین ذخیره شدند.
با این حال، به گفته او، در صورت واقعیت داشتن این حمله، دادههای جانبی چون تاریخچه معاملات، گزارشها یا حتی مدارک هویتی ممکن است از بین بروند.
