• 链上分析显示，伊朗Nobitex交易所在9000万美元黑客攻击发生前几个月使用类似洗钱的方法（包括剥离链和芯片钱包）定期转移资金。
• 一个所谓的“救援钱包”自2024年10月以来一直活跃，早在漏洞发生之前就悄悄地从内部钱包中收集较小的BTC块。
• 黑客攻击后的资金走势遵循与之前相同的模式，这表明Nobitex并没有对攻击做出恐慌反应，而是继续其标准的流动性做法，现在已经暴露了。

伊朗最大的加密货币交易所Nobitex遭受的价值9000万美元的黑客攻击成为全球头条新闻。但新浮出水面的区块链数据显示，这次漏洞暴露了更大的问题。

区块链情报公司Global Ledger的一份法医报告发现，在6月18日袭击发生前几个月，Nobitex正在使用通常与洗钱相关的技术系统性地转移用户资金。

伊朗Nobitex交易所在黑客攻击之前是否为用户资金洗钱？

链上数据显示，Nobitex采用了一种称为剥离链的方法。此时，大量比特币被分成较小的块，并通过短暂的钱包进行路由。

该技术使得资金追踪变得困难，并且经常被用来掩盖资金的来源。在Nobitex的案例中，分析师发现BTC以一致的30个硬币块循环的模式。

Global Ledger还发现Nobitex使用临时存取款地址--这种行为被称为筹码交易。这些一次性地址将BTC注入新钱包，掩盖了流动性轨迹。

“拯救钱包”并不新鲜

黑客攻击后，Nobitex声称将剩余资金转移是一项安全措施。链上活动确实显示了1，801 BTC（价值约1.875亿美元）进入新创建的钱包。

But this wallet wasn’t new. Blockchain data traces its 历史使用可追溯到2024年10月. The wallet had long been collecting chipped-off funds.

即使在黑客事件发生之前，这个“救援钱包”也收到了多次20-30 BTC转账，这些转账遵循相同的洗钱模式。

黑客攻击后的活动显示出持续的控制

泄密事件发生数小时后，Nobitex将资金从其暴露的热钱包转移到了另一个内部地址。这次全面平衡的横扫表明Nobitex保留了运营控制权。

6月19日，调查人员观察到1，783 BTC再次转移到新的目的地钱包中。这符合Nobitex公开声称保护其资产的说法，但现在增加了背景。

这些流量表明，Nobitex并没有对黑客事件做出反应，而是只是遵循其先前存在的洗钱策略。

亲以色列黑客组织Gonjeshke Darande发布了揭露Nobitex内部钱包结构的文件。

The hack may have shocked users, but blockchain data shows that Nobitex几个月来已经以这种方式转移资金.

与该交易所关联的旧钱包定期将比特币发送到新钱包。从那时起，资金被分成较小的金额，并一次又一次地转移--通常是20或30比特币的大块。

这种方法使得追踪资金最终流向变得更加困难。这类似于一些人在通过加密货币转移资金时隐藏自己的踪迹。

What’s important is that this wasn’t something Nobitex started after the hack. They had been doing it long before, and they kept doing it after—几乎就像标准程序一样.

One wallet in particular—bc1q. rrzq—shows up again and again. It received lots of user deposits and appears to be the starting point for many of these hard-to-trace fund movements.

In short, the hack didn’t cause Nobitex to change how it handled funds. It simply brought 正在进行的幕后活动进入公众视线.