Hackers roubam US$90 mi da Nobitex, maior corretora do Irã

Hackers invadiram a infraestrutura da Nobitex — maior exchange de criptomoedas do Irã, com mais de 10 milhões de usuários — e drenaram cerca de US$ 90 milhões de sua hot wallet. O ataque, reivindicado pelo grupo pró-Israel Predatory Sparrow, não apenas esvaziou as carteiras, como também “queimou” os fundos enviados para endereços inacessíveis, retirando-os permanentemente de circulação.

O incidente, revelado em 18 de junho de 2025, ocorre em meio à escalada militar e cibernética entre Irã e Israel. A Nobitex suspendeu site e aplicativo enquanto investiga o vazamento, deixando milhões de clientes sem acesso aos saldos. A seguir, detalhamos o que aconteceu, quem são os responsáveis e os possíveis desdobramentos para o ecossistema cripto regional.

Como o ataque foi executado

De acordo com comunicado oficial (traduzido do farsi) publicado no site da Nobitex, a plataforma detectou acesso não autorizado aos servidores centrais e à hot wallet responsável por liquidez diária. Análises preliminares de empresas de inteligência blockchain, como a Elliptic, indicam que os invasores moveram os ativos em múltiplas transações fracionadas, dificultando rastreamento imediato por sistemas de monitoramento automático. Em seguida, os valores foram enviados a burn addresses, carteiras sem chaves privadas conhecidas, tornando o resgate impossível.

Registros públicos da Arkham Intel mostram pelo menos 22 movimentações de grandes quantias, totalizando aproximadamente 1.350 BTC, 9.800 ETH e diversos stablecoins. Estima-se que o processo completo tenha levado menos de 45 minutos — um indicador de que os hackers já detinham acesso privilegiado ou exploraram credenciais roubadas previamente.

Quem é o grupo Predatory Sparrow?

O Predatory Sparrow (em farsi, Gonjeshke Darande) surgiu em 2021 e ganhou notoriedade por ataques destrutivos contra indústrias petrolíferas, ferrovias e estruturas governamentais iranianas. Embora não exista confirmação oficial de envolvimento estatal, analistas de cibersegurança apontam afinidade estratégica com interesses israelenses. Em publicação na rede X (ex-Twitter) logo após o roubo, o grupo afirmou que a Nobitex “financia o terrorismo do regime iraniano e burla sanções internacionais”.

Um dia antes, o mesmo coletivo reivindicou a intrusão no Bank Sepah, que derrubou caixas eletrônicos em todo o país. Especialistas veem um padrão de ataques coordenados destinado a minar a infraestrutura financeira iraniana em meio à escalada de confronto militar.

Impacto para 10 milhões de clientes

Com a suspensão de site e app, usuários não conseguem consultar saldos, realizar saques ou negociar criptos. A Nobitex não esclareceu quantos clientes mantinham valores exclusivamente em hot wallet, mas fontes internas apontam que aproximadamente 15 % dos depósitos totais estavam expostos — percentual considerado alto para padrões internacionais de custódia.

• Liquidez do mercado local: exchanges menores iranianas dependiam da Nobitex para pares em rial, o que pode provocar aumento do spread e da volatilidade.
• Confiança do investidor: o ataque reforça receios sobre segurança de plataformas regionais sujeitas a sanções e isolamento internacional.
• Efeito cascata: analistas preveem deslocamento de traders iranianos para exchanges descentralizadas, elevando riscos de golpes P2P.

Análise técnica: por que “queimar” fundos?

Diferentemente de ataques convencionais de ransomware, em que o objetivo é lucro financeiro, a decisão de destruir os ativos sinaliza motivação político-estratégica. Ao tornarem o dinheiro irrecuperável, os invasores visam:

• Gerar prejuízo direto ao regime iraniano, que supostamente se beneficia de taxas cobradas pela Nobitex.
• Enviar mensagem de dissuasão a outras entidades que ajudem Teerã a contornar sanções.
• Dificultar rastreamento, já que a ausência de movimentação posterior impede cooperação policial internacional.

Cenário geopolítico e guerra cibernética

O ataque ocorre enquanto cidades israelenses e iranianas trocam mísseis após meses de tensão crescente. Segundo a emissora estatal IRIB, Israel estaria conduzindo “uma guerra cibernética maciça” para paralisar serviços essenciais do Irã. Ainda que Tel Aviv negue envolvimento direto, fontes de inteligência ocidentais ouvidas pela Reuters afirmam que grupos como o Predatory Sparrow geralmente atuam com apoio indireto de órgãos governamentais.

A ofensiva se encaixa em tendência observada desde 2021: uso de hacktivismo patrocinado para atingir alvos estratégicos sem escalar para confronto militar direto. O Irã, por sua vez, já retaliou com ataques a redes de água israelenses e tentativa de violar sistemas de transporte público.

Medidas de contenção e próximos passos

A Nobitex declarou estar “trabalhando com especialistas internacionais” para rastrear os fundos e reforçar segurança. Entretanto, sem acesso às chaves privadas dos burn addresses, a recuperação é improvável. Consultores legais apontam que clientes terão dificuldade de buscar reparação judicial devido às sanções financeiras que isolam o sistema bancário iraniano do resto do mundo.

• Auditoria externa: a exchange contratou a empresa forense Chainalysis para elaborar relatório público.
• Plano de reembolso: rumores sugerem criação de token de dívida similar ao emitido pela Bitfinex em 2016.
• Regulação local: Parlamento iraniano discute projeto que exige prova de reservas e seguros obrigatórios.

Lições para usuários de exchanges

O caso reforça o mantra “not your keys, not your coins”. Especialistas recomendam manter a maior parte dos ativos em cold wallets sob custódia própria e limitar valores em plataformas centralizadas apenas ao necessário para trading diário. Ferramentas de auto-custódia com múltiplas assinaturas e backups físicos reduzem riscos de perda total.

“Eventos como o da Nobitex mostram que, em ambientes de alta tensão geopolítica, exchanges regionais viram alvos preferenciais para ataques de motivação ideológica.”

Farid Rahimi, pesquisador de segurança na Sharif University

Considerações finais

O hack à Nobitex combina elementos de cibercrime financeiro e guerra de informação, reforçando que moedas digitais podem ser armas estratégicas. Para investidores, a prioridade deve ser diversificar custodiar e acompanhar relatórios oficiais da exchange. Já reguladores e provedores de infraestrutura precisam elevar padrões de segurança, auditoria e compliance. Acompanhe nossa cobertura contínua para atualizações sobre investigações, medidas de compensação e possíveis retaliações cibernéticas.