In Iran is cryptobeurs Nobitex slachtoffer geworden van een grootschalige en vermoedelijk geopolitiek gemotiveerde cyberaanval. De aanval vond plaats in de vroege ochtend van dinsdag 18 juni 2025. Hackers slaagden erin toegang te krijgen tot hot wallets van de beurs en wisten vervolgens tientallen miljoenen aan cryptovaluta te verplaatsen naar onbekende adressen. De aanval wordt inmiddels in verband gebracht met de digitale actiegroep die opereert onder de naam Predatory Sparrow.
Wat er precies gebeurde bij Nobitex
Volgens lokale Iraanse media begon de aanval rond vier uur ’s ochtends. Binnen enkele minuten werden grote sommen aan digitale activa, waaronder Ethereum en Tether, weggesluisd van interne wallets van Nobitex. Uit blockchainanalyse blijkt dat meerdere transacties binnen een zeer kort tijdsbestek werden uitgevoerd, wat wijst op een vooraf geplande en geautomatiseerde aanval.
Na onderzoek door blockchainforensische bedrijven is vastgesteld dat de gestolen fondsen snel werden doorgezet naar zogeheten mixer-diensten. Opvallend is dat een deel van de fondsen kort na ontvangst werd ‘verbrand’, oftewel verstuurd naar onbruikbare adressen, waardoor deze permanent uit circulatie zijn gehaald.
Wie zijn Predatory Sparrow
Predatory Sparrow is een hackersgroep die eerder opdook bij cyberaanvallen op Iraanse infrastructuur, waaronder spoorwegen en petrochemische installaties. De groep opereert met militaire precisie en lijkt goed geïnformeerd over kwetsbaarheden binnen Iraanse netwerken. Analisten vermoeden al langer dat de groep banden heeft met buitenlandse inlichtingendiensten, al is dit nooit officieel bevestigd.
Het feit dat ook deze aanval tegen een binnenlands doel was gericht, suggereert dat de groep niet alleen economische ontwrichting wil veroorzaken, maar ook invloed wil uitoefenen op het vertrouwen in Iraanse instellingen.
Waarom deze aanval belangrijk is voor de cryptosector
Hoewel hacks vaker voorkomen binnen de cryptowereld, is deze aanval in meerdere opzichten uitzonderlijk. Niet alleen door het hoge bedrag en de precisie van uitvoering, maar vooral door het politieke karakter. De meeste hacks zijn gericht op financieel gewin, maar het vernietigen van gestolen fondsen wijst op een ander doel: destabilisatie.
Dit roept nieuwe vragen op over de kwetsbaarheid van centrale beurzen in risicogebieden. Waar internationale platforms doorgaans gebruikmaken van multilagenbeveiliging en koude opslag, blijkt Nobitex grote hoeveelheden activa in hot wallets te bewaren. Dat is riskant, zeker in landen waar infrastructuur kwetsbaar is voor sabotage.
Reactie van Nobitex en gebruikers
Nobitex heeft na enkele uren een verklaring afgegeven waarin wordt bevestigd dat er ongeautoriseerde toegang is geweest tot het platform. Het bedrijf heeft naar eigen zeggen onmiddellijk het volledige systeem offline gehaald en werkt samen met Iraanse autoriteiten aan een onderzoek.
Gebruikers reageren verdeeld. Een deel prijst de snelle communicatie van het platform, terwijl anderen aangeven zich ernstige zorgen te maken over het gebrek aan transparantie over de beveiliging voorafgaand aan het incident.
Veel gebruikers hebben inmiddels hun resterende tegoeden opgenomen, wat leidde tot tijdelijke vertragingen en overbelasting van de servers.
Politieke context en timing
De aanval komt op een gevoelig moment. Iran staat onder zware economische druk en probeert via technologie en digitale valuta een alternatieve infrastructuur op te bouwen. Nobitex speelt hierin een centrale rol als grootste crypto exchange van het land. Door deze beurs te treffen, wordt niet alleen het vertrouwen in de sector aangetast, maar ook het bredere digitale beleid van het regime.
De timing is bovendien opvallend: enkele dagen geleden werden Iraanse instellingen al gewaarschuwd voor mogelijke cyberdreiging vanuit onbekende actoren, zonder dat duidelijk werd waar de dreiging vandaan kwam. Dat deze waarschuwing nu gevolgd wordt door een grootschalige aanval lijkt geen toeval.
Gevolgen voor internationale handel in crypto
Hoewel Nobitex vooral actief is binnen de Iraanse markt, zijn er ook internationale gevolgen. Sommige munten die op de beurs werden gehouden, stonden ook op internationale exchanges genoteerd. Als gevolg van de hack werden enkele tokenparen tijdelijk opgeschort op platforms buiten Iran, waaronder kleinere beurzen in Azië en het Midden-Oosten.
Daarnaast waarschuwen experts dat de aanval het vertrouwen in crypto infrastructuur in instabiele regio’s verder ondermijnt. Partijen die eerder overwegen zaken te doen met partners in Iran, zullen mogelijk voorzichtiger worden of uitwijken naar stabielere markten.
Blockchainanalyse en transparantie
Op blockchainplatforms zoals Etherscan is goed te volgen wat er met de gestolen fondsen is gebeurd. De openbaarheid van transacties toont aan dat de fondsen zijn verspreid over honderden kleine wallets en deels zijn vernietigd.
Verschillende blockchainanalysebedrijven bevestigen dat het patroon van splitsing en verbranding eerder is waargenomen bij aanvallen met geopolitieke motieven.
Dit benadrukt het nut van transparantie binnen de blockchain, maar ook de noodzaak van adequate bescherming voor platforms die actief zijn in gevoelige gebieden.
Wat kunnen andere beurzen hiervan leren
Deze aanval maakt pijnlijk duidelijk dat cybersecurity niet alleen een technische, maar ook een geopolitieke aangelegenheid is. Beurzen die actief zijn in onstabiele gebieden of landen met beperkte digitale infrastructuur, moeten rekening houden met geavanceerde aanvallen die verder gaan dan financieel motief.
Het gebruik van koude opslag, strikte toegangsbeheer en realtime monitoring zijn inmiddels een must. Daarnaast wordt steeds vaker aangeraden om samenwerking te zoeken met internationale beveiligingsbedrijven, zelfs als dat politiek gevoelig ligt.
Verwachting voor de komende dagen
De komende dagen wordt meer duidelijk over de exacte omvang van de schade. Nobitex heeft aangekondigd met een volledig herstelplan te komen en gebruikers zo goed mogelijk te compenseren. De kans is groot dat dit leidt tot strengere interne controles, maar ook tot nieuwe oproepen vanuit de Iraanse regering voor digitale soevereiniteit.
Internationaal zal deze aanval opnieuw een discussie op gang brengen over de kwetsbaarheid van crypto exchanges en de rol van digitale oorlogvoering. Het is niet ondenkbaar dat ook andere landen extra maatregelen gaan treffen om hun digitale infrastructuur te beschermen tegen vergelijkbare incidenten.