Ein massiver Cyberangriff auf Irans größte Kryptobörse Nobitex hat über 90 Millionen Dollar gekostet. Hinter der Attacke steht die Hackergruppe Gonjeshke Darande, die den Angriff in einem politisch angespannten Umfeld durchführte. Was steckt wirklich hinter diesem beispiellosen Vorfall?
Am 18. Juni 2025 wurde Nobitex, die größte Kryptowährungsbörse Irans, Opfer eines spektakulären Cyberangriffs. Dabei wurden über 90 Millionen US-Dollar entwendet. Die pro-israelische Hackergruppe Gonjeshke Darande, übersetzt „Raubvogel“, übernahm die Verantwortung. Der Angriff wirft zahlreiche Fragen auf und hat weitreichende Konsequenzen, besonders vor dem Hintergrund erhöhter Spannungen zwischen Israel und Iran, nachdem Israel wenige Tage zuvor militärische und nukleare Einrichtungen in Iran angegriffen hatte.
Der Angriff zielte darauf ab, „Nobitex weiteren Schaden zuzufügen, indem sie andere potenzielle Angreifer ermutigten, die veröffentlichten Informationen für weitere Angriffe zu nutzen“.
Der Angriff begann am 18. Juni 2025 gegen 6:00 Uhr iranischer Zeit. Die Hacker konnten auf die internen Systeme von Nobitex zugreifen und große Mengen Kryptowährung aus den Hot-Wallets abziehen. Die gestohlenen Mittel wurden über TRON, Ethereum und Bitcoin auf speziell erstellte Vanity-Adressen transferiert. Diese Adressen enthielten Phrasen wie „F*ckIRGCterrorists“, was auf eine politische Motivation hindeutet.
Gonjeshke Darande muss im Voraus hochprivilegierten Zugang zu den internen Systemen von Nobitex erhalten haben. Dies wird durch die Veröffentlichung des kompletten Quellcodes der Börse auf ihrem Telegram-Kanal untermauert. Diese Daten umfassten Deployment-Konfigurationen, interne Privatsphärenmechanismen und Skripte zur Verwaltung von Cold-Wallet-Systemen. Es wird vermutet, dass Insider-Wissen oder sogar Zusammenarbeit mit Insidern vorhanden war.
Der Angriff hatte weitreichende Folgen. Nobitex musste die Dienste einstellen und die betroffenen Server isolieren. Die Börse bestätigte, dass Hot-Wallets betroffen waren und die Mittel in Cold-Wallets sicher seien. Die Wiederherstellung wurde durch landesweite Internetstörungen behindert. Die Verwendung von Vanity-Adressen zeigt, dass der Angriff eine politische Aussage war. Da die Erstellung solcher Adressen computationally infeasible ist, hatten die Hacker keine privaten Schlüssel und haben die Mittel effektiv „verbrannt“.
Gonjeshke Darande hatte am Vortag auch eine iranische Bank, die Bank Sepah, angegriffen, die verdächtigt wird, Irans militärische und nukleare Programme zu finanzieren. Dieser Angriff führte zu einer Unterbrechung der Dienste und zur Zerstörung von Daten der Islamischen Revolutionsgarde (IRGC), einer Organisation, die von vielen Ländern als terroristisch eingestuft wird. Diese Angriffe unterstreichen die Verbindung zwischen Cyberangriffen und geopolitischen Konflikten.
Der Angriff auf Nobitex führte zu einer Verringerung des Handelsvolumens auf iranischen Kryptowährungsbörsen. Viele iranische Börsen mussten auf Anweisung der Zentralbank des Iran die Handelsschaltungen für die Toman/Tether-Märkte schließen. Die Veröffentlichung sensibler Daten und des Quellcodes zielte auf umfassende Reputations- und operative Schäden für Nobitex ab.
Der Angriff auf Nobitex ist ein beispielloser Fall von Cyberkriegsführung, der die Grenzen zwischen politischen und finanziellen Motiven verwischt. Die Aktionen zeigen, wie geopolitische Spannungen in den digitalen Raum übertragen werden und wie anfällig kritische Infrastrukturen sein können. Die Folgen sind vielschichtig und betreffen finanzielle Sicherheit, operative Integrität und Reputation.
