Während im physischen Raum Raketen fliegen, schwappt der neueste Krieg dieser Welt auch in den Cyberspace. Die proisraelische Hackergruppe Gonjeshke Darande entwendet rund 90 Millioinen Dollar von der iranischen Börse Nobitex – und zieht danach eine überraschende Karte.

Am 18. Juni wurde die iranische Kryptobörse Nobitex gehackt: Mehr als 90 Millionen Dollar in verschiedenen Assets – darunter Bitcoin, Ethereum, Dogecoin, Ripple, Solana, Tron und Ton, aber auch USDT ($1.00), Pepe und viele weitere Token – wurden gestohlen. Nobitex gilt als größte iranische Kryptobörse.

Hinter dem Hack steht nach eigenem Bekennen die pro-israelische Hackergruppe Gonjeshke Darande. Sie erklärte den Angriff als politisch motivierten Schlag gegen „das liebste Werkzeug des Regimes um Sanktionen zu verletzen“ – und unterstreicht diesen Anspruch auch durch Taten, wie sich zeigen wird.

Krypto für und gegen das Regime

Aber beginnen wir mit dem, was passiert ist: Nobitex ist – erklärt der Analyst Chainalysis – „die größte Kryptobörse im Iran und eine zentrale Säule des Ökosystems für digitale Assets in dem Land“.

Nobitex wurde zur Standardplattform für Iraner, die Zugang zum globalen Kryptomarkt suchten, um auch an den Sanktionen vorbei Geld zu bewegen. Die gesamten Einzahlungen auf Nobitex in Kryptowährungen akkumulieren sich laut Chainalysis auf mehr als 11 Milliarden Dollar.

Mit Sicherheit wird Nobitex auch von legitimen Akteuren genutzt: von Iranern, die in Kryptowährungen investieren oder einfach nur Geld ins Ausland senden wollen – etwas, das durch Sanktionen und Kapitalkontrollen des Regimes erheblich erschwert wird. Wie bereits bemerkt wurde, erschweren es Kryptowährungen der Regierung, die Geldströme zu kontrollieren.

Allerdings zeigen Onchain-Analysen deutlich, dass Nobitex von einer Bandbreite krimineller Akteure genutzt wird. Die Börse interagiert mit Wallets, die mit Ransomware-Betreibern verbunden sind, mit den Revolutionsgarden, den Huthis und der Hamas. Es ist bekannt, dass die Revolutionsgarde sowohl durch Mining als auch durch Korruption und Beschlagnahmungen mit Kryptowährungen operiert.

Die größte Börse des Landes ist dementsprechend selbstverständlich in diese kriminellen Ströme eingebunden. Chainalysis weist beispielsweise auf Verbindungen und Auszahlungen von Nobitex an mit der Hamas verbundene Medien oder an die sanktionierten russischen Börsen Garantex und Bitpapa hin.

Eine vergleichsweise moderate Beute

Wie es zum Hack kam, ist nicht bekannt. Klar ist lediglich, dass fast 100 Millionen Dollar in verschiedenen Assets auf verschiedenen Blockchains gestohlen wurden. Da dies nur ein Bruchteil der Assets ist, die auf Nobitex liegen, kann man vermuten, dass die Hacker entweder lediglich die Hot Wallets ausgeräumt haben oder gezielt die Accounts der Revolutionsgarden angriffen.

Aber selbst die Revolutionsgarden dürften durch Mining, Hacks und Beschlagnahmungen sehr viel mehr Werte in Krypto halten. Ob die Hacker sich aus einem Mangel an Möglichkeiten mit den knapp 100 Millionen Dollar zufrieden gaben oder aus anderen Gründen ist nicht bekannt.

Klar ist aber, dass Nobitex auch nach dem Hack weiter operieren kann. Die Börse versichert ihre User, dass alle Funds sicher sind, und kündigt an, neu eingerichtete Cold Wallets zu verwenden, um die Coins noch besser zu schützen.

1FuckiRGCTerrorists

Der interessanteste Teil dieses Hacks begann mit dem, was danach geschah: Nicht nur hatte Gonjeshke Darande Zugang zu den Wallets von Nobitex – sie überwiesen die Assets auch auf Adressen, für die sie nachweislich keinen Schlüssel besitzen, sogenannte „Burner-Adressen“:  Adressen mit extrem auffälligen Buchstabenkombinationen wie, in diesem Fall:

1FuckiRGCTerroristsNoBiTEXXXaAovLX
TKFuckiRGCTerroristsNoBiTEXy2r7mNX
0xffffffffffffffffffffffffffffffffffffdea

und weitere. Es ist möglich, auf Basis von privaten Schlüssels auffällige Adressen zu generieren, die sogenannten „Vanity Adresses„. Um aber so lange Buchstabenfolgen zu finden müssten selbst die besten Supercomputer der Welt viele Jahrtausende lang suchen. Die einzige Möglichkeit, sie zu erzeugen, ist es, auf den privaten Schlüssel zu verzichten.

Mit den Überweisungen beweisen die Hacker, dass sie keinen Zugang zu den 90 Millionen Dollar haben. Sofern sie nicht noch weitere Coins auf eigene, nicht genannte Adressen überwiesen haben, demonstrieren sie damit, nicht aus Gier, sondern aus politischen Motiven zu handeln.

Hacker, die Sanktionen umsetzen

Wer jetzt aber, wie beispielsweise Spiegel Online, titelt, die Hacker hätten „90 Millionen Dollar vernichten“, hat nur teilweise recht.

Zwar sind etwa die 18 gestohlenen Bitcoins auf der „1FuckiRGCTerrorists…“ oder die 262 Ether auf der „0xfffffffff…“ unwiderbringlich verloren. Nicht verloren sind dagegen die fast 50 Millionen USDT (Tether) auf der Tron-Adresse „TKFuckiRGCTerrorists…“.

Denn es handelt sich um keine nativen Coins wie BTC ($106,742.00) oder ETH ($3,881.73), sondern um Token auf Basis eines Smart Contracts. Dieser erlaubt es Tether, USDT einzufrieren, zu vernichten und auch neu zu schöpfen. Sofern die Besitzer nachweisen können, dass die Token ihnen gehören, und sofern es gegen keine Finanzsanktionen verstößt, kann Tether die Token wieder herstellen und ihren Eigentümern auszahlen.

Dies ließe auch die Option offen, dass Tether fast 50 Millionen Dollar von der Revolutionsgarde an andere Akteure weiterleitet, etwa für den iranischen Widerstand oder als Entschädigung für Zerstörungen in Israel. In gewisser Weise haben die pro-israelischen Hacker keine Coins gestohlen – sondern Tether gezwungen, sie zu konfiszieren.

Man könnte sagen: Dies ist der erste Fall, dass Hacker anstelle der Staatsgewalt Finanzsanktionen umsetzen. Der Unterschied zum Vorgehen der nordkoreanischen Hacker könnte nicht größer sein: Wo diese Coins von legitimen Usern für den eigenen Verbrauch stehlen, konfiszieren die proisraelischen Hacker Coins von Kriminellen, ohne sich daran zu bereichern. Dies ist für den Krypto-Space ein beispiellos ethischer Angriff durch Black-Hat-Hacker.

Kurz darauf legte Nobitex nach: Sie veröffentlichten den kompletten Source-Code der Börse – einschließlich der Serverliste und weiterer sensibler Informationen. Es wäre möglich, dass der Ärger für die Börse und ihre User damit erst begonnen hat.