آنچه پیش روی شماست، سفری به اعماق بزرگترین بحران امنیتی تاریخ رمزارز ایران است؛ رویدادی که نه یک صرافی، که شریانهای حیاتی اقتصاد دیجیتال کشور را لرزاند. این تحلیل، صرفاً روایتی از یک نفوذ فنی نیست، بلکه کالبدشکافی یک «قوی سیاه» است؛ تلاشی برای درک این حقیقت که چگونه یک رویداد غافلگیرکننده میتواند شکنندگیهای پنهان یک اکوسیستم را عریان سازد.
هک نوبیتکس یک حملهٔ سایبری ساده نبود؛ ظهور یک «قوی سیاه» بود. قوی سیاه رویدادی است نادر، غیرقابلپیشبینی و با پیامدهای ویرانگر که پس از وقوع، همه تلاش میکنند آن را منطقی و قابلتوضیح جلوه دهند. اما حقیقت این است که این رویداد، خود خالق بحران نیست، بلکه تنها نقابی است که از چهرهٔ شکنندگیهای عمیق و ساختاری یک سیستم برمیدارد؛ ضعفهایی که همیشه وجود داشتهاند اما در سایهٔ روزمرگی و خوشبینی نادیده گرفته شدهاند.
فاجعهٔ نوبیتکس دقیقاً چنین نقشی را ایفا کرد. این هک به خودی خود یک اتفاق بود، اما آسیبپذیری اکوسیستم ایران در برابر آن، یک «انتخاب» بود؛ انتخابی که سالها با نادیده گرفتن چهار حقیقت تلخ شکل گرفته بود:
تمرکزگرایی کورکورانه: سپردن سرنوشت یک بازار به یک بازیگر غالب، بدون آنکه زنگهای خطر به صدا درآیند.
خلاء نظارتی: رشد قارچگونهٔ یک زیرساخت حیاتی در غیاب قوانینی که شفافیت، امنیت و پاسخگویی را تضمین کنند.
اعتماد به جای اثبات: بناکردن یک اقتصاد چند میلیارد دلاری بر پایهٔ «اعتماد» به مدیران، به جای الزام به «اثبات» شفافیت مالی و ذخایر.
انزوای تحمیلی: محدودیتهای بینالمللی که سرمایهها را به سمت گزینههای داخلیِ کمتر امن و نظارتنشده سوق داد و ریسکها را متمرکز کرد.
بنابراین، هک نوبیتکس نه علت، که معلول بود. یک جرقه در انبار باروتی که از پیش آماده بود. این رویداد عریان ساخت که چگونه یک اکوسیستم میتواند در ظاهر کارآمد و پررونق به نظر برسد، اما در باطن، تنها منتظر یک ضربه برای فروپاشی کامل باشد.
نوبیتکس که در سال ۱۳۹۶ راهاندازی شد، ظرف کمتر از یک دهه به بزرگترین و تأثیرگذارترین صرافی رمزارزی ایران تبدیل گشت. این پلتفرم با ادعای مالکیت حدود ۱۰ میلیون کاربر احراز هویتشده، نفوذی عمیق و قابلتوجه در میان سرمایهگذاران خرد و فعالان بازار آنلاین ایران پیدا کرده است.
تحلیلهای شرکت Chainalysis نشان میدهد که مجموع ارزش سرمایهٔ ورودی آنچین به نوبیتکس از زمان تأسیس تا ماه مه ۲۰۲۵، از مرز ۱۱ میلیارد دلار فراتر رفته است؛ درحالیکه مجموع ورودی ده صرافی بزرگ بعدی ایران در همین بازهٔ زمانی، کمتر از ۷٫۵ میلیارد دلار بوده است.
آمارهای قدیمیتر TRM Labs نیز این سلطه را تأیید میکند و نشان میدهد که نوبیتکس در سال ۲۰۲۲ بهتنهایی حدود ۸۷ درصد از کل وجوه ورودی به صرافیهای ایرانی (معادل ۲٫۶ میلیارد دلار) را به خود اختصاص داده بود. این آمارها گواهی میدهند که وابستگی بازار داخلی به این پلتفرم، حتی پیش از جهشهای تورمی اخیر، به یک وابستگی «سیستمی» تبدیل شده بود.
در غیاب دسترسی آسان ایرانیان به صرافیهای بینالمللی، نوبیتکس عملاً به «درگاه پیشفرض» برای تبدیل ریال به استیبلکوین، بهویژه تتر روی شبکهٔ ترون، بدل شده است. این کانال نهتنها مورد استفادهٔ کاربران عادی و کسبوکارها، بلکه برای برخی نهادها جهت دور زدن محدودیتهای بانکی نیز به کار میرود. همین جایگاه محوری باعث شده تا هرگونه اختلال فنی یا رخداد امنیتی در این صرافی، ریسک یک شوک نقدینگی شدید و جهش ناگهانی قیمت تتر در بازار آزاد را به همراه داشته باشد.
ارزیابیهای صنعت نشان میدهد که بزرگترین رقبای داخلی نوبیتکس رویهمرفته کمتر از یکسوم حجم ترافیک آن را در اختیار دارند و سهم آنها از جریان ورودی روی زنجیره در سال ۲۰۲۴ زیر ۱۵ درصد باقی مانده است. این تمرکز، اکوسیستم را در برابر رویدادهای «قوی سیاه»؛ از هک و تحریم گرفته تا مداخلات نظارتی، بهشدت آسیبپذیر میکند.
در ادامه، وقایع کلیدی و تحولات بحران هک نوبیتکس را از آغاز نفوذ تا نخستین گامهای بازیابی، به ترتیب زمانی روایت خواهم کرد:
۲۸ خرداد ۱۴۰۴، ۰۵:۲۷
سامانهٔ پایش Cyvers نخستین تراکنشهای مشکوک از کیفپولهای نوبیتکس روی اتریوم و ترون را گزارش کرد.
۲۸ خرداد ۱۴۰۴، ۰۵:۴۵
تیم فنی نوبیتکس دسترسیِ غیرمجاز به کیفپول گرم را شناسایی و بلافاصله همهٔ دسترسیها را مسدود کرد.
۲۸ خرداد ۱۴۰۴، ۰۶:۰۰
حدود ۹۰ میلیون دلار رمزارز از کیفهای گرم به آدرسهای خاص منتقل شد و دسترسی کاربران مختل گردید.
۲۸ خرداد ۱۴۰۴، ۰۶:۴۹
نوبیتکس در نخستین بیانیهٔ توییتری تأیید کرد «کل دسترسیهای خارجی قطع شد و بررسی در حال انجام است».
۲۸ خرداد ۱۴۰۴، ۰۷:۳۵
وبسایت و اپلیکیشن در حالت نگهداری (Maintenance) قرار گرفت.
۲۸ خرداد ۱۴۰۴، ۰۸:۰۰
گروه «گنجشک درنده / Predatory Sparrow» مسئولیت حمله را بهطور عمومی پذیرفت.
۲۸ خرداد ۱۴۰۴، ۱۲:۳۰
نوبیتکس کل سامانه را برای «بررسی دسترسیِ غیرمجاز» آفلاین کرد و اطلاعیهٔ رسمی در وبگاه منتشر شد.
۲۹ خرداد ۱۴۰۴، ۱۴:۰۴
گروه هکری سورسکد نوبیتکس (حدود ۱۶ گیگابایت) را در شبکههای اجتماعی و گیتهاب منتشر کرد.
۳۰ خرداد ۱۴۰۴، ۰۲:۰۰
تیآرام لبز تأیید کرد که دادههای افشاشده شامل کل معماری کیفپول و اسناد داخلی است.
۳ تیر ۱۴۰۴، ۱۱:۰۰
نوبیتکس «نقشهراه سهمرحلهای» بازیابی سرویسها را منتشر کرد.
۷ تیر ۱۴۰۴، ۱۲:۰۰
پلیس فتا ساعات فعالیت همهٔ صرافیهای رمزارزی را به ۱۰:۰۰ تا ۲۰:۰۰ محدود کرد.
۹ تیر ۱۴۰۴، ۰۹:۰۰
نخستین برداشتها برای کیفپول کاربران احرازشده فعال شد.
هک ۹۰ میلیون دلاری نوبیتکس تنها یک بحران مالی نبود؛ بلکه زلزلهای روانی برای میلیونها کاربری بود که این پلتفرم را امنترین درگاه ورود به دنیای رمزارز میدانستند. درحالیکه تحلیلگران بر سرنوشت داراییها متمرکز بودند، بحران اصلی در ذهن و زندگی کاربران در حال وقوع بود: فلج شدن دسترسی به سرمایه، هراس از سرقت هویت و سقوط آزاد اعتماد.
تجربهٔ کاربران در طول این بحران را میتوان به چهار پرده تقسیم کرد:
نخستین موج، موج شوک و ناباوری بود. کاربران در ساعات اولیه صبح با پیامی آشنا اما نگرانکننده مواجه شدند: «در حالت نگهداری». آنچه در ابتدا یک اختلال فنی موقت به نظر میرسید، با هجوم کاربران به شبکههای اجتماعی و دیدن سیلی از پیامهای مشابه، به سرعت رنگ باخت. نبض نگرانی در فضای مجازی بالا رفت و با انتشار اولین گزارشهای تأییدنشده از سوی سامانههای پایش، سردرگمی به یک دلهرهٔ واقعی تبدیل شد. در این ساعات، امید به عادی بودن اوضاع، جای خود را به ترسی مبهم از ناشناختهها داد.
مرحلهٔ بعد، اوجگیری اضطراب در خلاء اطلاعاتی بود. سکوت چندساعتهٔ نوبیتکس پس از تأیید اولیه، یک خلاء ایجاد کرد که هیولای شایعات به سرعت آن را پر کرد. گمانههایی از «ورشکستگی کامل» تا «توقیف کل داراییها» در گروههای تلگرامی و فضای مجازی دست به دست میشد. ناتوانی کاربران در مشاهدهٔ موجودی حسابهایشان، این هراس را به یقین تبدیل میکرد که «همهچیز از دست رفته است». این ساعاتی بود که هر دقیقه انتظار، بر عمق اضطراب و استیصال میافزود و کاربران در برزخی از بیخبری و ترس رها شده بودند.
نقطهٔ عطف ویرانگر بحران، پردهٔ سوم یعنی خشم و استیصال بود. با انتشار خبر افشای حجم عظیمی از دادههای محرمانه، از جمله سورسکد پلتفرم، ماهیت بحران برای همیشه تغییر کرد. این رخداد، ماجرا را از یک سرقت مالی به یک نقض حریم زیرساختی و خیانت به اعتماد تبدیل کرد.
افشای نقشهٔ کامل معماری پلتفرم، این هراس را در میان کاربران به یقین بدل کرد که تمام لایههای امنیتی که به آن تکیه کرده بودند، فروریخته است. دیگر سوال فقط بازگشت سرمایه نبود؛ بلکه این بود که سیستمی که تمام دارایی و هویت دیجیتالشان را به آن سپرده بودند، تا چه اندازه در بنیان خود شکننده و ناامن بوده است. در این نقطه، نگرانی جای خود را به خشمی عمیق از این سطح از آسیبپذیری داد؛ حسی که نه فقط دارایی، بلکه امنیت دیجیتال و اصل اعتمادشان به حراج گذاشته شده بود.
فاز پایانی، امیدواری محتاطانه بود. انتشار «نقشهراه بازگشت» و فعال شدن امکان مشاهدهٔ موجودی، نفس راحتی را به کالبد رنجور کاربران دمید و بخشی از اضطراب حاد را کاهش داد. اما این تسکین، سطحی بود و زیر پوست آن، بیاعتمادی عمیقی ریشه دوانده بود. بهترین گواه این مدعا، رفتار کاربران پس از بازگشایی امکان برداشت بود: بسیاری از آنها در اولین فرصت، تمام یا بخش قابلتوجهی از دارایی خود را به کیفپولهای شخصی یا صرافیهای رقیب منتقل کردند. این یک «بانکگریزی» خاموش و فردی بود که نشان میداد زخم بیاعتمادی به این سادگیها التیام نخواهد یافت.
ضعف اصلی در تجربهٔ کاربری، نه صرفاً قطعی سرویس، بلکه مدیریت ضعیف اطلاعات و ارتباطات در ۴۸ ساعت اول بود که به اضطراب فردی اجازه داد به یک وحشت جمعی تبدیل شود.
بر پایهٔ برآورد همزمان سه شرکت تحلیل زنجیره Chainalysis، Elliptic و TRM Labs، حجم وجوه جابهجاشده حدود ۹۰ میلیون دلار است. هر سه نهاد تأکید میکنند که انگیزهٔ مهاجمان سیاسی بوده و نه مالی؛ زیرا داراییها عمداً به آدرسهایی منتقل شدهاند که امکان خرج کردن آنها وجود ندارد و عملاً «سوزانده» شدهاند.
مبلغ برآوردی: ۵۰ میلیون دلار
سهم تقریبی: ۵۵ درصد
شبکهٔ انتقال: ترون
مبلغ برآوردی: ۹ تا ۱۰ میلیون دلار
سهم تقریبی: ۱۰ درصد
شبکهٔ انتقال: بیتکوین
مبلغ برآوردی: رقم دقیق اعلام نشده
سهم تقریبی: ۷ درصد
شبکهٔ انتقال: اتریوم
مبلغ برآوردی: رقم دقیق اعلام نشده
سهم تقریبی: ۶ درصد
شبکهٔ انتقال: اتریوم
مبلغ برآوردی: رقم دقیق اعلام نشده
سهم تقریبی: ۴ درصد
شبکهٔ انتقال: اتریوم
مبلغ برآوردی: ۱۶ تا ۱۸ میلیون دلار
سهم تقریبی: ۱۸ درصد
شبکهٔ انتقال: شبکههای بومی
مهاجمان داراییها را به مجموعهای از آدرسهای ونیتی (Vanity) که حاوی شعارهای سیاسی بود، منتقل کردند. طبق توضیح Elliptic، تولید چنین آدرسهایی عملاً به معنای از بین بردن کلید خصوصی است؛ بنابراین وجوه برای همیشه از چرخه خارج شدهاند. تنها سناریوی نظری برای جبران، صدور دوباره (re-issue) حدود ۵۰ میلیون تتر سوزاندهشده توسط شرکت تتر است که با توجه به ملاحظات سیاسی و تحریمی، اقدامی تقریباً غیرممکن به نظر میرسد.
تحقیقات نشان میدهد که نفوذ از یک نقطهٔ ضعف انسانی آغاز و با ضعفهای ساختاری به فاجعه ختم شد.
دو رایانه متعلق به کارمندان کلیدی نوبیتکس در سالهای ۲۰۲۳ و ۲۰۲۴ به بدافزارهای سرقت اطلاعات آلوده شده بودند. این بدافزارها کوکیهای نشست (Session Cookies) ایمیل، جیرا و پورتال ادمین را استخراج کردند و به هکر اجازه دادند بدون نیاز به رمز عبور یا احراز هویت دوعاملی (MFA) وارد سیستم شوند.
مهاجم با استفاده از همین کوکیها به ایمیلها، مخازن کد و نقشهٔ سرورها دسترسی یافت. به دلیل جداسازی ضعیف میان محیط توسعه (Dev) و محیط عملیاتی (Prod)، هکر توانست قدمبهقدم خود را به سرورهای کیفپول گرم برساند.
کد افشاشدهٔ پلتفرم فاش کرد که کلیدهای خصوصی حیاتی بهجای نگهداری در یک ماژول امنیتی سختافزاری (HSM)، در متغیرهای محیطی سرور ذخیره میشدند. این ضعف مهلک به مهاجم اجازه داد مستقیماً دستور امضای تراکنشها را صادر کرده و برداشت ۹۰ میلیون دلاری را تأیید کند.
به زبان ساده، هکرها با یک لاگ آلوده شروع کردند، با چند کوکی وارد ایمیل شدند، مرزهای امنیتی شبکه را دور زدند و در نهایت کلید امضای تراکنشها را پیدا کردند. اگر حتی یکی از این حلقهها، بهویژه جداسازی کلید در HSM، وجود داشت، این رخداد احتمالاً از یک نفوذ محدود فراتر نمیرفت.
واکنش نوبیتکس به بحران هک، تصویری دوگانه از خود به نمایش گذاشت؛ از یک سو، مجموعهای از اقدامات تاکتیکی موفق برای کنترل آسیب و از سوی دیگر، آشکار شدن ضعفهای استراتژیک و بنیادین. برای درک کامل این مدیریت بحران، باید هر دو روی این سکه را بهدقت بررسی کرد.
در ساعات و روزهای پس از حمله، نوبیتکس مجموعهای از اقدامات کلیدی را برای مهار بحران و آرامسازی بازار به اجرا گذاشت که نشان از آمادگی عملیاتی تیم داشت:
مهار فوری و کنترل آسیب: به محض شناسایی نفوذ، تیم فنی تمام اتصالات خارجی را قطع کرد و موجودی باقیماندهٔ کیفپولهای گرم را بیدرنگ به کیفپولهای سرد جدید منتقل نمود. این اقدام سریع، از گسترش آسیب و سرقت داراییهای بیشتر جلوگیری کرد.
وعدهٔ شفاف جبران خسارت: نوبیتکس بهسرعت و به شکلی قاطع اعلام کرد که تمام خسارت کاربران از محل «صندوق بیمه و ذخایر داخلی» پرداخت خواهد شد. این تعهد، یک گام کلیدی در آرامسازی بازار و جلوگیری از وحشت جمعی بود.
انتشار نقشهراه بازگشت: برای مقابله با سردرگمی و بیخبری کاربران، یک جدول زمانی سهمرحلهای برای احراز هویت مجدد، نمایش موجودی و بازگشایی تدریجی خدمات منتشر شد. این نقشهراه، چشماندازی روشن از آینده در اختیار کاربران قرار داد.
ارتباط مستمر با کاربران: با وجود سکوت اولیه، شرکت پس از آن از طریق بیانیههای مکرر در شبکههای اجتماعی، مصاحبه با رسانهها و فعال نگه داشتن پشتیبانی ۲۴/۷، تلاش کرد تا با کاربران در ارتباط بماند و به سوالات آنها پاسخ دهد.
درحالیکه اقدامات فوق، تصویری از یک مدیریت بحران فعال را به نمایش گذاشت، روی دیگر این سکه، ضعفهای عمیقتری را آشکار کرد که نشان میداد برخی از این اقدامات مثبت، در واقع واکنشی به شکستهای استراتژیک پیشین بودهاند.
ضعف بنیادی فنی؛ ریشهٔ اصلی بحران: مهمترین و کلیدیترین ضعف، ماهیتی فنی داشت و علت اصلی وقوع فاجعه بود. هرچند ایزولهسازی سریع داراییها یک حرکت تاکتیکی قابلتحسین بود، اما این اقدام نمیتواند شکست در معماری امنیتی پلتفرم را بپوشاند. این ضعفها شامل استفادهنکردن از ماژول امنیتی سختافزاری (HSM) برای نگهداری کلیدهای حیاتی و جداسازی ضعیف محیطهای توسعه و عملیاتی بود که مسیر نفوذ را هموار کرد. اینها خطاهای جزئی نبودند، بلکه نقصهای معماری پایهای بودند که عملاً درهای خزانه را باز گذاشته بودند.
فقدان شفافیت مالی؛ صندوق ذخیرهای در سایه: اعلام وجود «صندوق بیمه» یک گام کلیدی بود، اما این بحران، نبود شفافیت در این حوزه را نیز برجسته کرد. اندازهٔ دقیق، منشأ و نحوهٔ مدیریت این صندوق در هالهای از ابهام باقی ماند. این ابهام، سوالات جدی دربارهٔ پایداری مالی بلندمدت پلتفرم و توانایی آن برای مقابله با بحرانهای بزرگتر در آینده ایجاد میکند؛ رویکردی که با استاندارد جهانیِ وجود یک صندوق ذخیرهٔ شفاف و قابل حسابرسی فاصله داشت.
خلاء ارتباطی؛ سکوت اولیه و قطعی طولانیمدت: اقدامات ارتباطی بعدی، پس از یک شکست بزرگ رخ داد: خلاء اطلاعاتی در ۱۲ ساعت اول. این سکوت اولیه، فضایی مسموم برای رشد شایعاتی چون ورشکستگی کامل ایجاد کرد و اضطراب کاربران را به اوج رساند. علاوه بر این، قطعی کامل و ۱۲ روزهٔ سرویس، هرچند شاید فنی بود، اما به گمانهزنیها دربارهٔ ورشکستگی دامن زد و بحران اعتماد را تشدید کرد.
ریسک سیستمی؛ تنبیه کل اکوسیستم به خاطر یک بازیگر: نهایتاً، واکنش رگولاتور به این بحران، یک ضعف سیستمی بزرگ را آشکار ساخت. تصمیم پلیس فتا برای اعمال «قرنطینهٔ ساعتی» بر تمام صرافیها، نشان داد که ریسک ناشی از سلطهٔ نوبیتکس تا چه اندازه جدی است. این مداخله، در عمل کل اکوسیستم را به دلیل شکست یک پلتفرم تنبیه کرد و نشان داد که سلامت بازار به شکل خطرناکی به امنیت بزرگترین بازیگر آن گره خورده است.
در نهایت، مدیریت بحران نوبیتکس تصویری دوگانه از خود به جا گذاشت. این شرکت توانست با تعهد به جبران زیان و اجرای یک برنامهٔ بازگشایی مرحلهای، شوک اولیه را کنترل کند؛ با این حال، واقعیت هک و افشای کامل کد منبع، در کنار ضعفهای ساختاری که این بحران آشکار کرد، لکهای جدی بر ادعای امنیتی و جایگاه این صرافی باقی خواهد گذاشت.
هک نوبیتکس نهفقط یک صرافی، بلکه چهار لایهٔ حیاتی اقتصاد دیجیتال ایران را به لرزه درآورد:
پلیس فتا با ابلاغیهای بیسابقه، ساعت فعالیت تمامی صرافیها را به بازهٔ ۱۰ صبح تا ۸ شب محدود کرد. این «قرنطینهٔ ساعتی» نشان داد که نهاد ناظر برای مهار ریسک سیستمی آمادهٔ مداخلهٔ مستقیم است.
برای مهار تبعات سایبری، دولت به اهرم قدیمی متوسل شد و ظرفیت اینترنت بینالملل را برای ساعاتی بهشدت کاهش داد. این اقدام نشان داد که زیرساخت اینترنت بهعنوان «دریچهٔ اطمینان» در حملات نگریسته میشود، حتی اگر به قیمت فلج شدن کسبوکارها تمام شود.
در بازار آزاد، قیمت تتر برای مدتی کوتاه جهش ۱۲ هزار تومانی را تجربه کرد. مهمتر از آن، رقبا برای کسب اعتماد ازدسترفته از انتشار گزارش «اثبات ذخایر» صبحت کردند که درصورت عملیشدن میتواند به مزیتی رقابتی تبدیل شد.
در داخل، کمیسیون اقتصادی مجلس از «طرح فوری ساماندهی صرافیها» سخن گفت. در خارج، اندیشکدههای آمریکایی بار دیگر نوبیتکس را مصداق «ابزار دور زدن تحریم» خواندند و احتمال افزودن نام آن به فهرست تحریمی وزارت خزانهداری ایالات متحده آمریکا را مطرح کردند.
هک نوبیتکس یک نقطهٔ عطف برای اکوسیستم مالی دیجیتال ایران بود. این رویداد نشان داد که چگونه آسیبپذیری یک بازیگر مسلط میتواند کل سیستم، از قواعد نظارتی و زیرساخت اینترنت گرفته تا سیاست ارزی را به چالش بکشد.
این بحران اثبات کرد که اقتصاد ریالی و رمزارزی به یکدیگر دوخته شدهاند و آسیب به یکی، شوکی سیستماتیک به دیگری وارد میکند. از این پس، بازاری که پیشتر بر پایهٔ اعتماد شفاهی میچرخید، ناچار است با استانداردهای جدیدی از شفافیت فنی و نظارت سختگیرانه به حیات خود ادامه دهد.
در نگارش این تحلیل، مجموعهای از منابع معتبر بینالمللی و داخلی مورد استفاده قرار گرفتهاند. این منابع، شامل گزارشهای تحلیلی، اخبار رسمی و تخصصی، و دادههای بلاکچین هستند که برای تأیید جزئیات رخداد، ارقام داراییها، تحلیل فنی نفوذ، و درک ابعاد انسانی و پیامدهای سیستمی بحران نوبیتکس مورد استناد بودهاند. مهمترین آنها در ادامه فهرست شدهاند:
شرکتهای تحلیل زنجیره و امنیت سایبری:
Chainalysis: برای آمار ورودی سرمایه به نوبیتکس، تخمین حجم داراییهای جابهجاشده و تحلیل عمومی جریان وجوه.
TRM Labs: برای تأیید حجم داراییهای جابهجاشده، آمار سهم نوبیتکس از بازار در سال ۲۰۲۲ و تأیید محتوای کد منبع افشاشده.
Elliptic: برای تحلیل ماهیت آدرسهای ونیتی و غیرقابل خرج بودن داراییها و تأیید حجم سرقت.
Hudson Rock: برای تحلیل منشأ نفوذ فنی از طریق بدافزارهای Infostealer و آلودگی رایانههای کارمندان.
Cyvers: برای گزارش نخستین تراکنشهای مشکوک و هشدارهای اولیه.
Arkham Intelligence: برای دادههای مربوط به موجودی کیفپولهای نوبیتکس (مورد استفاده در تحلیلهای اولیه).
Hacken: برای تحلیل سناریوهای جبران خسارت (مانند re-issue تتر).
رسانههای خبری و تحلیلی بینالمللی:
CoinDesk: برای پوشش خبری اولیهٔ هک و جزئیات افشای کد منبع کامل پلتفرم.
Cointelegraph / Cryptonews / The Block / ODaily / Bitpush News / MiTrade / AInvest: برای پوشش خبری اقدامات نوبیتکس، واکنش پلیس فتا و تحولات بازار پس از هک.
استانداردهای نظارتی و حقوقی بینالمللی:
EU AMLD5 Directive, 2018: دستورالعملهای اتحادیه اروپا در زمینهٔ مبارزه با پولشویی.
FinCEN Convertible Virtual Currency Guidance, 2019: راهنماییهای شبکهٔ مقابله با جرائم مالی ایالات متحده در مورد ارزهای مجازی قابل تبدیل.
SEC Crypto Oversight: مستندات نظارتی کمیسیون بورس و اوراق بهادار آمریکا بر رمزارزها.
Singapore MAS Guidelines, 2020: راهنماییهای نهاد پولی سنگاپور در مورد رمزارزها.
Japan FSA Crypto Regulations, 2021: مقررات سازمان خدمات مالی ژاپن در زمینهٔ رمزارزها.
