Ein kompromittierter privater Schlüssel verschaffte einem Angreifer am 21. Februar unbefugten Zugriff auf den Token-Safe von IoTeX und ermöglichte es ihm, Vermögenswerte im geschätzten Wert von 8 Millionen US‑Dollar oder mehr abzuziehen, bevor die Mittel in Ethereum umgewandelt und über THORChain zu Bitcoin (BTC) geleitet wurden.
Das IoTeX-Team bestätigte den Vorfall, widersprach jedoch den im Markt kursierenden Schadenssummen und erklärte, die tatsächlichen Verluste lägen unter den genannten Beträgen.
IOTX, der native Token von IoTeX, fiel nach den Nachrichten um rund 9–10 %, während das Handelsvolumen innerhalb von 24 Stunden um über 500 % anstieg.
Was ist passiert?
Das Blockchain-Sicherheitsunternehmen PeckShield bestätigte den Exploit auf X und erklärte, der Hacker habe durch einen kompromittierten privaten Schlüssel die vollständige Kontrolle über den Token-Safe erlangt und mehrere Vermögenswerte entnommen, darunter USDC, USDT, IOTX, WBTC, PAYG und BUSD.
Der Angreifer tauschte die gestohlenen Token anschließend gegen ETH und bridgte etwa 45 ETH über THORChain zu Bitcoin-Adressen – ein Cross-Chain-Routing-Protokoll ohne zentralen Einfrier-Mechanismus.
Über die anfängliche Leerung hinaus soll der Angreifer denselben kompromittierten Zugriff genutzt haben, um 111 Millionen CIOTX-Token zu minten und den Gesamtschaden damit auf geschätzte 8,8 bis 9 Millionen US‑Dollar über alle Vektoren hinweg zu erhöhen. Drei Wallet-Adressen des Angreifers wurden von On-Chain-Analysten öffentlich identifiziert.
Reaktion von IoTeX
IoTeX räumte die Sicherheitsverletzung am 21. Februar gegen etwa 10:30 Uhr UTC öffentlich ein.
Das Team erklärte, es habe mit großen Kryptowährungsbörsen und Sicherheitspartnern koordiniert, um die Vermögenswerte des Hackers nachzuverfolgen und, wo möglich, einzufrieren, und beschrieb die Situation als „unter Kontrolle“.
Das Projekt nannte keine bestätigte Verlustsumme und erklärte lediglich, die ersten Schätzungen lägen „deutlich unter den kursierenden Gerüchten“.
Lesen Sie auch: Italian Tax Police Crack €500K Crypto Evasion Ring - Blockchain Was The Witness
Warum das wichtig ist
Die Chancen auf eine Wiedererlangung der Gelder werden durch die Nutzung von THORChain durch den Angreifer erschwert. Das Protokoll wickelt Cross-Chain-Swaps ohne Custodians ab und kann nicht von zentralen Akteuren eingefroren werden. Sobald die Gelder auf diesem Weg Bitcoin-Adressen erreichen, wird die Nachverfolgbarkeit On-Chain deutlich eingeschränkt.
Der IoTeX-Hack fügt sich in ein breiteres Muster ein. CrossCurve verlor in einem separaten Bridge-Exploit vor nur drei Wochen 3 Millionen US‑Dollar, und im Januar 2026 wurden branchenweit fast 400 Millionen US‑Dollar an Kryptowährungen gestohlen, wie aus verfügbaren Sicherheitsdaten hervorgeht.
Kompromittierte private Schlüssel – und nicht Smart-Contract-Bugs – entwickeln sich zunehmend zum bevorzugten Angriffsvektor. Sie umgehen vollständig den geprüften Code, indem sie direkt die operative Sicherheit ins Visier nehmen.
Lesen Sie auch: Ripple CEO Puts 90% Odds On Crypto's Most Consequential U.S. Bill Passing By April