بررسی کامل هک نوبیتکس: چگونه مناقشه ایران و اسرائیل قدرت دولت بر رمزارزها را افشا کرد!

وقایع ماه‌های اخیر میان ایران و اسرائیل نه‌تنها امنیت منطقه را به چالش کشیده بلکه تغییرات عمده‌ای در اکوسیستم رمزارز داخل کشور به‌همراه داشته است. در پی آسیب دیدن رئیس‌جمهور در جریان این مناقشه و حملات سایبری گروه‌های وابسته به رژیم صهیونیستی به پلتفرم‌های رمزنگاری داخلی، چگونگی کنترل دولت بر اقتصاد دیجیتال بیش از پیش آشکار شده است. تحلیل‌های جامع TRM Labs نشان می‌دهد شدت درگیری‌ها منجر به جهش چشمگیر خروج سرمایه از صرافی‌های رمزارزی ایران شد؛ چنان‌که خروجی‌ پول از نوبیتکس، بزرگ‌ترین پلتفرم کشور، بیش از ۱۵۰٪ نسبت به هفته قبل آن افزایش داشت.

تأثیر هک نوبیتکس و پیامدهای آن بر اقتصاد رمزارز ایران

در میانه مناقشه، ۱۸ ژوئن ۲۰۲۵، باند سایبری Predatory Sparrow که به اسرائیل نسبت داده می‌شود، اقدام به هک ۹۰ میلیون دلاری نوبیتکس کرد. این حمله بخشی از زیرساخت اقتصاد رمزارزی کشور را هدف قرار داد و لایه‌های پنهان کنترل و پویایی امنیت در فضای رمزارزی کشور را نمایان ساخت.

ترکیب این رویدادها یک چشم‌انداز بی‌سابقه از اقتصاد رمزنگاری ایران فراهم کرد: گذرگاه تلاقی بحران‌های ژئوپولیتیک، فشارهای اقتصادی و کنترل نهادهای حاکم.

خلاصه مهم‌ترین یافته‌ها طبق گزارش TRM Labs

• کاربران نوبیتکس مدت کوتاهی قبل از آغاز حملات اسرائیل اقدام به برداشت سرمایه کردند؛ رشد بیش از ۱۵۰ درصدی خروجی‌ها نشان داد کاربران برای کاهش ریسک دسترسی و نگهداری دارایی‌ها در پلتفرم‌های داخلی آماده می‌شدند.
• پس از هک، حجم ورودی تراکنش‌ها به نوبیتکس نسبت به سال قبل بیش از ۷۰٪ افت کرد و بی‌اعتمادی به این صرافی و سایر پلتفرم‌های رمزنگاری داخلی را افزایش داد.
• انتشار کدهای مخرب هک، دوگانه اولویت‌های دولت را آشکار ساخت: همزمان امکان نظارت دولتی بدون ضمانت قضایی فراهم بود و نیز حریم خصوصی کاربران VIP حفظ می‌شد.
• در پی حمله، دولت ایران محدودیت‌های شبانه‌ای بر معاملات رمزارزی اعمال کرد که تلاشی برای تشدید کنترل جریان‌های مالی دیجیتال تلقی می‌شود؛ این امر باعث نوسانات شدید قیمت USDT شد.
• پس از هک، کیف پول‌های قدیمی مرتبط با استخراج بیت‌کوین دست به انتقال دارایی زدند و وجوه را به والت جدید نوبیتکس تجمیع کردند. این روش، ابزاری کلیدی برای درآمدزایی و دورزدن احتمالی تحریم‌ها محسوب می‌شود.
• تحلیل‌ها نشان می‌دهد حملات سایبری سیاسی به صرافی‌ها در دوره‌های تنش ژئوپولیتیکی همچنان ادامه خواهد داشت. این اقدامات با هدف تخریب زیرساخت‌ها یا افشای برخی فعالیت‌ها انجام می‌شود، بر خلاف حملات صرفاً مالی گروه‌هایی چون لازاروس کره شمالی.

مهاجرت سرمایه از صرافی‌های رمزارزی ایران تحت تأثیر بحران ژئوپولیتیک

تحریم‌ها، نوسانات اقتصادی و بی‌اعتمادی ریشه‌دار به بانکداری سنتی موجب شده ایرانیان هرچه‌ بیشتر به ارزهای دیجیتال روی آورند تا ارزش دارایی خود را حفظ کرده، به زیرساخت مالی بین‌المللی متصل شوند و دارایی‌هایشان را از معرض کنترل دولتی دور نگه دارند.

با افزایش تنش و تهدید حملات نظامی میان ایران و اسرائیل، گزارش TRM Labs نشان می‌دهد فعالیت برداشت سرمایه از صرافی‌های ایرانی در روزهای پیش از حملات موشکی ۱۳ ژوئن ۲۰۲۵ رشد قابل توجهی داشته است. این شتاب از آن حکایت دارد که کاربران در واکنش به احتمال افزایش خطرات ژئوپولتیک، سرمایه‌های خود را به صرافی‌ها و کیف پول‌های بین‌المللی منتقل کردند تا ریسک نگهداری در پلتفرم‌های داخلی را کاهش داده و به نقدینگی و امنیت بیشتر دست یابند.

پس از حملات، وجوه از نوبیتکس یا مستقیماً و یا از طریق کیف پول‌های واسطه به خدمات رمزارزی جهانی منتقل شد.

نقش نوبیتکس در دور زدن احتمالی تحریم‌ها

نوبیتکس به عنوان بزرگ‌ترین صرافی رمزارز ایران، بخش مهمی از زیرساخت رمزارزی کشور محسوب می‌شود. این بستر هم توسط شهروندان عادی برای مقابله با تورم و انزوای اقتصادی استفاده می‌شود و هم احتمالا توسط بازیگرانی که به قصد دورزدن تحریم‌ها و نبود شفافیت KYC، مبادلات میلیارد دلاری انجام می‌دهند.

تحلیل‌های TRM نشان داده، فعالیت برخی نهادهای تحریم شده بر بستر نوبیتکس انجام شده؛ امری که موضع دوگانه این صرافی در خدمت به شهروندان و حمایت از نهادهای دیگر را روشن می‌کند.

زیرساخت‌های نظارتی پنهان نوبیتکس؛ حفاظت از VIPها و نقض حریم خصوصی کاربران عادی

افشای کد منبع نوبیتکس پس از هک نشان‌ داد زیرساخت فنی این صرافی به‌گونه‌ای طراحی شده بود تا بتواند از رصد شدن توسط نهادهای بین‌المللی نظیر FinCEN و شرکت‌های تحلیلی زنجیره بلوک آمریکا بگریزد. ایجاد آدرس‌های پنهان (Stealth Address)، تراکنش‌های مبهم، و روش‌های خاص برای پنهان‌سازی تراکنش، از جمله تکنیک‌های مورد استفاده بودند.

طبق گزارش TRM Labs، کد منتشر شده نشان می‌دهد که سیستم داخلی نوبیتکس مجوزهای سخت رمزنگاری‌ شده‌ای داشته که به نهادهای داخلی دسترسی بدون حکم قانونی برای رصد کاربران را اعطا می‌کرد. در مقابل، زیرساخت موازی برای کاربران VIP تعبیه شده بود تا فرایندهای کنترل و گزارش‌دهی را دور بزنند.

این سیستم شامل ابزارهایی چون کارمزدهای پنهان، دسته‌بندی تراکنش‌ها، میکسرهای تأخیری، و تغییرات پویا در نقاط اتصال بود که منجر به پوشش‌دهی کاربران متصل به نهادهای داخلی و تحریم‌شدگان شد و در عین حال نیاز به نظارت داخلی را برطرف می‌ساخت.

تحلیل انگیزه‌های سیاسی حمله سایبری به نوبیتکس

بر اساس ارزیابی‌های TRM، هک نوبیتکس، ماهیت سیاسی داشت و نه صرفا مالی؛ زیرا قلب زیرساخت مالی تحریم‌شده ایران را هدف گرفت.

مهاجمان مقداری از دارایی‌های مسروقه را به آدرس‌هایی با شعارهای سپاه پاسداران منتقل کردند؛ روشی که پول‌ها را قابل انتقال نمی‌ساخت، چرا که این آدرس‌ها با جستجوی تصادفی کلید خصوصی ایجاد شده بودند و نه کلیدهای از پیش تعریف‌شده. بنابراین، هیچ‌کس قادر به برداشت این دارایی‌ها نبود و وجوه برای همیشه مسدود ماند.

این حمله عملا دسترسی میلیون‌ها ایرانی به خدمات مالی دیجیتال را مختل کرد و نشان داد حملات زیرساختی از سوی دولت‌ها و گروه‌های وابسته به کشورها می‌تواند در آینده شدت گیرد.

واکنش نوبیتکس به هک و روند بازگشت تدریجی خدمات

در اوایل تیر ۱۴۰۴ (ژوئیه ۲۰۲۵)، نوبیتکس اعلام کرد که تمامی قابلیت‌های کلیدی خود مانند معاملات رمزارزی، واریز و برداشت ریال، و بیشتر خدمات برداشت و واریز رمزارز را در هر دو نسخه وب و اندروید فعال کرده است. عرضه مجدد خدمات و هماهنگی مانده حساب‌ها و وام‌ها به تدریج انجام شد و جریمه‌های مرتبط به مارجین به‌دلیل شرایط خاص بخشیده شد.

نوبیتکس برای بازپرداخت سریع مشتریان از سیاست تبدیل کارمزدها به بیت‌کوین و ذخیره‌سازی ذخایر ارزی استفاده کرد. این منابع به صرافی کمک کرد تا فرآیند جبران خسارت کاربران و بازگشایی خدمات با سرعت بیشتری انجام شود.

همچنین زیرساخت صرافی به طور کامل بازسازی شد. به کاربران هشدار داده شد که آدرس‌های قدیمی واریز از کار افتاده و هر انتقال به این آدرس‌ها منجر به از دست رفتن دارایی خواهد شد. این موضوع نشانگر شدت آسیب وارده به زیرساخت پیشین بود. مطابق تحلیل زنجیره‌ای و اطلاعاتی TRM، خدمات از ۴ تیر ماه به صورت تدریجی و از ۱۸ تیر به طور کامل بازیابی شد که با اظهارات رسمی نوبیتکس همخوانی دارد.

انتقال دارایی‌های کیف پول‌ها پس از هک

تحقیقات TRM نشان داد کیف‌پول‌های مرتبط با عملیات استخراج بیت‌کوین، که از سال ۲۰۲۱ پاداش‌هایی از دو استخر بزرگ دریافت کرده بودند، بلافاصله پس از هک فعال شدند. این دارایی‌ها نهایتاً به کیف پول جدید نوبیتکس منتقل و جهت حمایت از بازگشایی خدمات مورد استفاده قرار گرفتند. این روند نشانگر استمرار استفاده از استخراج بیت‌کوین توسط ایران به عنوان ابزاری برای تولید درآمد و مقابله با تحریم‌های خارجی است.

کاهش چشمگیر ورودی‌ها به نوبیتکس؛ بی‌اعتمادی کاربران پس از هک

به‌گزارش TRM، حجم ورودی تراکنش به نوبیتکس در تیرماه ۲۰۲۵ نسبت به مدت مشابه سال قبل بیش از ۷۰ درصد کاهش یافته و در عین حال خروجی‌ها ۳۱ درصد افزایش داشته‌اند. این امر علاوه بر بازیابی تدریجی سرویس‌ها نشان‌دهنده کاهش اعتماد کاربران نیز هست.

شواهد نشان می‌دهد که کاربران ایرانی نسبت به امنیت، شفافیت و حفاظت از دارایی‌های خود در نوبیتکس و سایر پلتفرم‌های داخلی بدبین‌تر شده‌اند. افشای ضعف‌های امنیتی و نفوذپذیری زیرساخت‌ها و نیز مداخله احتمالی دولت در کنترل پلتفرم‌های رمزارزی به کاهش طولانی‌مدت فعالیت‌های معاملاتی روی نوبیتکس دامن زده است.

کاربرانی که دارایی خود را از دست داده یا نتوانسته‌اند مجدداً به حسابشان دسترسی پیدا کنند، بیشترین نارضایتی را ابراز کرده‌اند. برخی همچنان دچار قفل حساب یا تاخیر در بازگشت خدمات هستند.

تشدید کنترل دولت ایران بر صرافی‌های رمزارزی پس از هک

در واکنش به هک نوبیتکس، دولت ایران اقدام به اعمال محدودیت‌های معاملاتی بین ساعت ۸ شب تا ۱۰ صبح کرد. اگرچه این اقدام در ظاهر به دلایل امنیتی توجیه شد، اما هدف اصلی، کنترل جدی‌تر بخشی از بازار است که هم قدرت فرار سرمایه بالایی دارد و هم امکان دورزدن نظام تحریمی را برای کشور ایجاد کرده است.

این محدودیت‌ها باعث نوسان شدیدی در بازار شد و قیمت تتر (USDT) – مهم‌ترین استیبل‌کوین بازار ایران – به سطوح بی‌سابقه‌ای نظیر ۶۰ هزار تومان و حتی کمتر رسید.

جمع‌بندی: رمزارز، ابزار فرصت و تهدید برای نظام

رمزارزها در ایران هم فرصت مالی و هم چالش امنیتی برای حاکمیت محسوب می‌شوند. با شعله‌ور شدن بحران با اسرائیل و افزایش تنش، موج خروج سرمایه از صرافی‌هایی چون نوبیتکس شتاب گرفت؛ حرکتی که نشانگر جستجوی کاربران برای دور زدن کنترل‌های دولتی است.

هک نوبیتکس نه‌تنها نشان داد زیرساخت خدمات دارایی دیجیتال چقدر تحت کنترل و نظارت دولت است، بلکه با اعمال محدودیت‌های جدید توسط بانک مرکزی و ایجاد دسترسی بدون حکم قضایی به نیروهای امنیتی، میزان کنترل بر این بخش را به اوج رساند. سلب اعتماد گسترده موجب شده برخی کاربران به سراغ پلتفرم‌های خارجی یا روش‌های غیرمتمرکز همتا به همتا کوچ کنند. از سوی دیگر، انتقال دارایی کیف‌پول ماینرها پس از هک، بر استمرار احتمالی راهبرد استخراج بیت‌کوین توسط کشور برای تامین مالی و دورزدن تحریم‌ها صحه می‌گذارد.