【獨家解析】伊朗Nobitex交易所遭駭內幕:鏈上數據揭「異常轉帳」與資金清洗疑雲
區塊鏈情報公司Global Ledger最新鑑識報告揭露,伊朗加密貨幣交易所Nobitex在2025年6月遭駭事件背後藏有更大疑點。數據顯示,該平台早在攻擊發生前數月,就系統性使用「分片洗錢」技術轉移用戶資金,駭後更持續相同操作模式。本文透過鏈上交易追蹤,帶您深入剖析三大異常現象:30BTC規律分拆模式、臨時地址「切斷交易」手法,以及所謂「救援錢包」的長期資金流動軌跡。
Nobitex駭客攻擊前是否存在資金清洗行為?
根據Global Ledger分析師團隊的深度追蹤,Nobitex自2025年3月起便出現異常資金流動模式。平台採用名為「分片洗錢」(Chip-Off Laundering)的進階技術,將大額比特幣以精確的30BTC為單位拆分,透過短期存續的錢包層層轉移。這種手法能有效切斷資金溯源路徑,常見於暗網市場與國際制裁規避案例。
技術團隊發現,在6月18日主攻擊發生前72小時內,被標記為「遭駭熱錢包」的地址持續接收來自數十個匿名錢包的小額btc轉帳。值得注意的是,這些轉入金額皆精確控制在29.8至30.2BTC之間,形成明顯的數學模式。更引人疑竇的是,部分資金來源錢包與伊朗革命衛隊附屬礦池存在歷史互動記錄。
圖:Nobitex熱錢包在駭客攻擊前接收異常規律的小額BTC轉帳(來源:Global Ledger)
「救援錢包」早有前科?揭露資金流動真相
攻擊事件後,Nobitex官方聲明將剩餘1,801 BTC(時價約1.875億美元)轉移至新建的「安全錢包」。但鏈上數據顯示,該錢包地址(3FZbgi29q1X)早在2024年11月就已活躍,且具備以下特徵:
- 累計接收超過4,200 BTC,全部以20-30BTC為單位分拆轉入
- 資金最終流向塞舌爾與阿聯酋的混合器服務
- 與已知的伊朗石油貿易中介錢包存在多層關聯
特別值得關注的是,在2025年4月至5月期間,這個所謂「新建」的救援錢包,已接收來自Nobitex用戶存款錢包的47筆轉帳,每筆金額皆精準落在28.5至31.5 BTC區間。此模式與國際反洗錢組織FATF標記的「結構性拆分」特徵高度吻合。
駭後資金動向:平台持續掌控的證據鏈
攻擊發生後48小時內的鏈上活動,更暴露Nobitex對資金流向的持續控制能力:
| 時間戳 | 交易哈希 | 金額(BTC) | 特徵分析 |
|---|---|---|---|
| 2025-06-18 14:32 | 3a5b7...e8f2 | 327.18 | 從熱錢包轉至內部冷儲存 |
| 2025-06-19 09:17 | 9c2d4...b7e1 | 1,783.42 | 分三批轉至新目的地錢包 |
| 2025-06-20 03:45 | e6f1a...c3d9 | 624.75 | 經混幣器後轉至交易所 |
親以色列駭客組織Gonjeshke DARande曝光的內部文件顯示,Nobitex的錢包管理系統設有「自動分拆轉帳」功能模組。該系統會定期將用戶存款轉移至中繼錢包群,再透過演算法自動執行金額拆分與路徑跳轉。這種技術架構解釋了為何平台能在遭駭後仍維持精準的資金調度能力。
圖:Nobitex用戶資金流向潛在洗錢錢包的鏈上路徑(來源:Global Ledger)
深度問答解析
Q1:什麼是「分片洗錢」技術?
分片洗錢(Chip-Off Laundering)是進階區塊鏈匿蹤手法,核心原理包含三個階段:首先將大額資金按特定數學模型(如30BTC)拆分,接著透過一次性中繼錢包進行多層跳轉,最後使用混幣器或隱私幣種切斷鏈上關聯。Nobitex案例中,平台還結合「切斷交易」(Chipping)技術,即創建臨時存款地址接收用戶資金後立即清空,增加追蹤難度。
Q2:如何判斷救援錢包早有活動?
透過區塊鏈瀏覽器回溯可發現,Nobitex宣稱「新建」的救援錢包(3FZbgi29q1X)在2024年11月3日首度出現交易,且與多個已知伊朗實體的錢包存在交互。該地址在2025年1月更參與過一筆涉及1,200 BTC的三角套利交易,資金最終流向俄羅斯交易所Garantex(現受美國OFAC制裁)。這些歷史活動與交易所聲明的「專為保護資產新建」說法明顯矛盾。
Q3:鏈上數據如何證明平台持續控制資金?
關鍵證據來自兩方面:一是駭後轉帳需動用冷錢包私鑰,這表示攻擊者未完全掌控系統;二是資金移動模式與攻擊前完全一致,包括精確的30BTC拆分單位、相同的時間間隔(每6小時批量處理),以及重複使用的中繼錢包地址。這些操作需要高度協調的內部配合,難以用「自動化風控機制」解釋。
