A plataforma de encriptação do Irão遭遇大规模 segurança事件，近亿美元资产受影响

No dia 18 de junho de 2025, um incidente de segurança envolvendo a maior plataforma de encriptação do Irão gerou ampla atenção na indústria. Segundo várias fontes, parte da infraestrutura e das carteiras quentes da plataforma sofreu acesso não autorizado, resultando na transferência anormal de grandes ativos em várias blockchains.

Uma estimativa preliminar mostra que a perda de ativos envolvida neste incidente é de cerca de 81,7 milhões de dólares, abrangendo várias redes como TRON, EVM e BTC. Vale a pena notar que os atacantes não apenas transferiram fundos, mas também moveram uma quantidade significativa de ativos para um endereço de destruição personalizado, com o valor dos ativos "queimados" próximo de 100 milhões de dólares.

Após o acontecimento, a plataforma de negociação rapidamente tomou medidas, cortando as interfaces externas e iniciando uma investigação. A plataforma afirmou que a grande maioria dos ativos está armazenada em carteiras frias não afetadas, e que a invasão se limitou a uma parte das carteiras quentes usadas para a liquidez diária.

Um grupo de hackers que se autodenomina Predatory Sparrow (Gonjeshke Darande) afirmou ser responsável pelo ataque. O grupo não apenas divulgou o código-fonte da plataforma, mas também afirmou ter destruído cerca de 90 milhões de dólares em encriptação, chamando-o de "ferramenta de evasão de sanções".

De acordo com as informações de código-fonte públicas, o sistema central desta plataforma de transação é principalmente escrito em Python e utiliza K8s para implantação e gestão. Especialistas em segurança especulam que os atacantes podem ter ultrapassado os limites de operação e manutenção, permitindo-lhes entrar na rede interna para realizar o ataque.

Os atacantes utilizaram vários "endereços de destruição" que parecem legítimos, mas que na verdade são incontroláveis para receber ativos. A maioria desses endereços cumpre as regras de verificação de formato de endereço on-chain, podendo receber ativos com sucesso, mas assim que os fundos são transferidos, equivalem a uma destruição permanente. Alguns endereços também contêm palavras emocionais e provocativas, com um significado claramente agressivo.

A análise de dados em cadeia mostra que o ataque envolve várias redes de blockchain, incluindo TRON, BSC, Ethereum, Arbitrum, Polygon, Avalanche, Bitcoin, Dogechain, Solana, TON, Harmony e Ripple. Os tipos de ativos roubados abrangem as principais moedas de cada ecossistema, bem como vários tokens como UNI, LINK, SHIB.

Este evento lembra novamente a indústria que a segurança é um problema global. Para as plataformas que utilizam carteiras quentes para operações diárias, especialistas em segurança recomendam:

1. Isolar rigorosamente as permissões e os caminhos de acesso das carteiras frias e quentes, auditar regularmente as permissões de chamada da carteira quente;
2. Adotar um sistema de monitoramento em tempo real na cadeia, obtendo rapidamente informações abrangentes sobre ameaças e monitoramento de segurança dinâmico;
3. Em conjunto com o sistema de combate à lavagem de dinheiro em cadeia, descobrir rapidamente fluxos de fundos anormais;
4. Reforçar os mecanismos de resposta a emergências, garantindo que, após um ataque, seja possível responder de forma eficaz dentro da janela de ouro.

À medida que a investigação avança, a indústria continuará a acompanhar os desenvolvimentos subsequentes deste evento, bem como o seu impacto profundo na gestão de segurança das plataformas de encriptação.