اگر حمله سایبری ۲۸ خرداد ۱۴۰۴ به بزرگترین صرافی رمزارز ایران واقعاً درباره نابودی ۹۰ میلیون دلار دارایی دیجیتال نبود، بلکه درباره افشا و مختل کردن یک عملیات عظیم پولشویی توسط نیروهای امنیتی ایران بود، چه؟

شواهد جدید نشان می‌دهد که این هک تماشایی که تیترهای بین‌المللی را به خود اختصاص داد، ممکن است دقیقاً برای نابودی وجوه متعلق به سپاه پاسداران انقلاب اسلامی هدف‌گیری شده باشد، در حالی که سپرده‌های شهروندان عادی دست نخورده باقی ماند. این تحقیق یک خط لوله مالی پیچیده را آشکار می‌کند که تقریباً ۸۰۰ میلیون دلار را از طریق کانال‌های رمزارز بین اسفند ۱۴۰۲ و مرداد ۱۴۰۴ جابجا کرد، که نزدیک به ۱۰۰ میلیون دلار آن در ماه‌های قبل از حمله مستقیماً به نوبیتکس سرازیر شد.

حمله‌ای که تهران را شوکه کرد

صبح ۲۸ خرداد ۱۴۰۴، کاربران نوبیتکس با وبسایتی از کار افتاده و وجوه غیرقابل دسترس روبرو شدند. در عرض چند ساعت، گروه هکری طرفدار اسرائیل گنجشک درنده (Predatory Sparrow) مسئولیت آنچه را که به یکی از سیاسی‌ترین حملات سایبری در تاریخ رمزارز تبدیل شد، بر عهده گرفت.

هکرها فقط پول را ندزدیدند - آن را نابود کردند. با ارسال وجوه به آدرس‌های "سوزاننده" با نام‌های تحریک‌آمیز مانند "FuckIRGCTerroristsNoBiTEX"، آنها اطمینان حاصل کردند که ۹۰ میلیون دلار برای همیشه از گردش خارج شود. این یک سرقت برای سود نبود؛ این جنگ دیجیتال با یک پیام بود.

اما اینجا چیزی است که تیترها از دست دادند: مبلغ نابود شده - تقریباً ۹۰ میلیون دلار - تقریباً دقیقاً با مقدار وجوه مرتبط با سپاه که اخیراً به صرافی سرازیر شده بود، مطابقت دارد.

دنبال کردن پول: خط لوله USDT

تحقیق من یک مسیر عمده پولشویی را کشف کرده است که سرویس‌های امنیتی جمهوری اسلامی برای انتقال وجوه از طریق اکوسیستم رمزارز استفاده می‌کردند. این عملیات بر روی USDT (تتر)، یک استیبل‌کوین مرتبط با دلار که به ویژه در ایران به عنوان پوششی در برابر سقوط ریال محبوب است، متمرکز بود.

کیف پول کلیدی در این طرح: *TU6VdVR7EFjMHZBWaC634r3BboiRWNtFnM*

بین ۹ فروردین ۱۴۰۳ و ۱ شهریور ۱۴۰۴، تقریباً ۸۰۰ میلیون دلار USDT از طریق این شبکه جابجا شد. این وجوه نهایتاً از طریق یک آدرس کیف پول حیاتی دیگر به نوبیتکس راه یافت:

*TPJVEvxsNDp2dNFUmUUUHprUim72Ek5me1*

این کیف پول به عنوان یک مجرای مستقیم برای وجوه سرویس امنیتی به نوبیتکس عمل می‌کرد. بین ۲۶ آبان ۱۴۰۳ و ۱۳ اردیبهشت ۱۴۰۴ - فقط چند هفته قبل از هک - تقریباً ۹۸ میلیون دلار از طریق این کانال منتقل شد.

زمان‌بندی تصادفی نیست. به نظر می‌رسد هکرها دقیقاً می‌دانستند چه مقدار پول کثیف در کیف پول‌های نوبیتکس نشسته است و دقیقاً همان مقدار را برای نابودی هدف قرار دادند.

مرد پشت پرده: شهرام ذاکری را بشناسید

در مرکز این عملیات عظیم پولشویی یک مرد ایستاده است:

شهرام ذاکری (کد ملی: ۲۶۴۹۶۱۳۵۸۰).

Embedded image

ذاکری فقط یک کاربر یا کارمند دیگر نبود - او شخصیت کلیدی مسئول هماهنگی کل جریان وجوه بین سرویس‌های امنیتی جمهوری و عملیات رمزارز نوبیتکس بود. او به عنوان پل حیاتی بین شبکه‌های مالی سپاه و صرافی عمل می‌کرد و جابجایی ده‌ها میلیون دلار وجوه غیرقانونی را تسهیل می‌کرد.

آنچه موقعیت ذاکری را حتی آشکارتر می‌کند، رفتار ویژه‌ای است که دریافت کرد: برخلاف هر کاربر دیگر نوبیتکس که باید تأیید هویت سختگیرانه (KYC) را انجام دهد، ذاکری با مصونیت کامل عمل می‌کرد. بدون بررسی هویت. بدون تأیید منبع وجوه. بدون هیچ سؤالی.

این فقط رفتار ترجیحی نیست - این شواهد قاطع از استانداردهای دوگانه نوبیتکس و همکاری عمیق با رژیم ایران است. در حالی که شهروندان عادی با نظارت و محدودیت‌های فزاینده روبرو هستند، مردی که پول سرویس امنیتی را از طریق پلتفرم جابجا می‌کند، در سایه‌ها با آگاهی و همکاری کامل صرافی عمل می‌کرد. معافیت ذاکری از الزامات KYC ثابت می‌کند که نوبیتکس فقط همدست نبود - بلکه شریک فعال در جرایم مالی رژیم بود.


الگوی رفتار ترجیحی

هک نوبیتکس به صورت مجزا رخ نداد. فقط یک روز قبل، در ۲۷ خرداد ۱۴۰۴، همان گروه هکری بانک سپه را هدف قرار داد و خدمات را در سراسر ایران مختل کرد. در حالی که شهروندان عادی نمی‌توانستند حقوق خود را برداشت کنند یا به حساب‌هایشان دسترسی داشته باشند، منابع من نشان می‌دهند که پرسنل امنیتی رفتار اولویت‌دار دریافت کردند - پرداخت‌های آنها از طریق کانال‌های جایگزین به هزینه مشتریان عادی پردازش شد.

این الگوی اولویت دادن به نیروهای امنیتی در حالی که شهروندان رنج می‌برند، در سیستم مالی ایران بومی شده است. وقتی چراغ‌ها به دلیل کمبود برق ناشی از عملیات استخراج بیت‌کوین تحت کنترل سپاه خاموش می‌شوند، پایگاه‌های نظامی روشن می‌مانند. وقتی بانک‌ها شکست می‌خورند، پرسنل امنیتی اول حقوق می‌گیرند. و وقتی نوبیتکس تقریباً ۴۰۰ میلیون دلار دارایی رمزارز مختلف در اختیار دارد، منافع رژیم بر سپرده‌گذاران فردی اولویت می‌گیرد.

تصویر بزرگتر: رمزارز به عنوان شریان حیاتی دور زدن تحریم‌ها

نقش نوبیتکس در اکوسیستم دور زدن تحریم‌های ایران قابل اغراق نیست. با بیش از ۱۱ میلیارد دلار کل ورودی - بیش از ده صرافی بعدی ایران مجموعاً - به دروازه اصلی برای جابجایی پول به داخل و خارج از اقتصاد ایزوله ایران تبدیل شده است.

شرکت‌های تحلیل بلاک‌چین به طور گسترده ارتباطات نوبیتکس با بازیگران غیرقانونی را مستند کرده‌اند:

Chainalysis (خرداد ۱۴۰۴) ارتباطاتی با موارد زیر شناسایی کرد:

- اپراتورهای باج‌افزار وابسته به سپاه

- نهادهای مرتبط با شبکه‌های وابسته به حوثی‌ها و حماس که توسط دفتر ملی مبارزه با تأمین مالی تروریسم اسرائیل (NBCTF) شناسایی شده‌اند

- رسانه تحریم شده طرفدار حماس Gaza Now

- صرافی‌های رمزارز تحریم شده روسی Garantex و Bitpapa

Elliptic (خرداد ۱۴۰۴) یافت:

- استفاده از نوبیتکس توسط عاملان تحریم شده سپاه احمد خطیبی عقدا و امیرحسین نیاکین راوری

- انتقال مستقیم بیت‌کوین از این افراد تحریم شده متهم به عملیات باج‌افزار

TRM Labs گزارش داد که بلاک‌چین TRON، که ۶۵٪ از حجم ورودی رمزارز ایران را پردازش می‌کند، به دلیل کارمزدهای پایین‌تر و زمان تراکنش سریع‌تر در مقایسه با بیت‌کوین یا اتریوم، به شبکه ترجیحی برای این عملیات‌ها تبدیل شده است.

این برای کاربران عادی چه معنایی دارد

در حالی که تیترهای بین‌المللی بر پیامدهای ژئوپلیتیکی تمرکز دارند، قربانیان واقعی این جنگ سایه‌ای شهروندان ایرانی هستند که از رمزارز به عنوان تنها وسیله محافظت از پس‌اندازهای خود در برابر یک ارز در حال سقوط استفاده می‌کنند. ریال تنها در سال ۱۴۰۳، ۳۷٪ از ارزش خود را در برابر دلار از دست داد و میلیون‌ها نفر را به سمت جستجوی پناه در دارایی‌های دیجیتال سوق داد.

اکنون این شهروندان خود را بین رژیمی که از صرافی آنها برای اهداف غیرقانونی استفاده می‌کند و بازیگران بین‌المللی که حاضرند میلیون‌ها دارایی را برای ارسال یک پیام نابود کنند، گیر افتاده می‌بینند. پاسخ بانک مرکزی ایران - محدود کردن ساعات کاری صرافی به ۱۰ صبح تا ۸ شب - هیچ کاری برای رفع مشکل اساسی تصرف دولتی اکوسیستم رمزارز انجام نمی‌دهد.

کاربران الان چه کاری باید انجام دهند؟

شواهد روشن است: نوبیتکس تقریباً ۴۰۰ میلیون دلار دارایی دیجیتال مختلف در اختیار دارد. این پول شماست، نه صندوق مخفی رژیم. هر ایرانی که در صرافی وجوه دارد باید موارد زیر را در نظر بگیرد:

۱. فوراً برداشت کنید: رژیم نشان داده است که جبران خسارت نیروهای امنیتی را بر حفاظت از سپرده‌های شهروندان اولویت می‌دهد. منتظر بحران بعدی نمانید.

۲. همه چیز را مستند کنید: سوابق تمام تراکنش‌ها، سپرده‌ها و تلاش‌های برداشت خود را نگه دارید. این مستندات ممکن است در صورتی که صرافی با حملات یا محدودیت‌های بیشتری روبرو شود، حیاتی باشد.

۳. شفافیت را مطالبه کنید: نوبیتکس باید توضیح دهد که چرا کاربران خاصی مانند شهرام ذاکری از الزامات KYC عبور می‌کنند در حالی که شهروندان عادی با نظارت فزاینده روبرو هستند.