Une compromission de clé privée a donné à un attaquant un accès non autorisé au coffre de tokens d’IoTeX le 21 février, vidant des actifs d’une valeur estimée à 8 millions de dollars ou plus avant que les fonds ne soient convertis en Ethereum puis acheminés vers Bitcoin (BTC) via THORChain.
L’équipe IoTeX a confirmé la brèche mais a contesté les montants des pertes circulant sur le marché, affirmant que les pertes réelles sont inférieures aux chiffres rapportés.
IOTX, le token natif d’IoTeX, a chuté d’environ 9 à 10 % à l’annonce, tandis que le volume d’échange a explosé de plus de 500 % en 24 heures.
Ce qui s’est passé
La société de sécurité blockchain PeckShield a confirmé l’exploit sur X, indiquant que le pirate a obtenu le contrôle total du coffre de tokens via une clé privée compromise et a extrait plusieurs actifs, dont USDC, USDT, IOTX, WBTC, PAYG et BUSD.
L’attaquant a ensuite échangé les tokens volés contre de l’ETH et a transféré environ 45 ETH vers des adresses Bitcoin en utilisant THORChain, un protocole d’acheminement cross‑chain sans mécanisme centralisé de gel.
Au‑delà de la vidange initiale, l’attaquant aurait exploité le même accès compromis pour frapper 111 millions de tokens CIOTX, faisant grimper les dommages totaux estimés vers 8,8 à 9 millions de dollars tous vecteurs confondus. Trois adresses de portefeuilles de l’attaquant ont été publiquement identifiées par des analystes on‑chain.
Réaction d’IoTeX
IoTeX a reconnu publiquement la brèche vers 10 h 30 UTC le 21 février.
L’équipe a indiqué avoir coordonné ses efforts avec les principales plateformes d’échange de cryptomonnaies et ses partenaires de sécurité pour tracer et geler les actifs du pirate lorsque cela est possible, décrivant la situation comme étant « sous contrôle ».
Le projet n’a pas communiqué de montant de pertes confirmé, se contentant d’affirmer que les premières estimations sont « nettement inférieures aux rumeurs qui circulent ».
À lire aussi : Italian Tax Police Crack €500K Crypto Evasion Ring - Blockchain Was The Witness
Pourquoi c’est important
Les perspectives de récupération sont compliquées par l’utilisation de THORChain par l’attaquant, qui traite des échanges cross‑chain sans dépositaires et ne peut pas être gelé par des entités centralisées. Une fois les fonds arrivés sur des adresses Bitcoin via cette route, la traçabilité on‑chain se réduit considérablement.
La brèche IoTeX s’inscrit dans une tendance plus large. CrossCurve a perdu 3 millions de dollars dans un autre exploit de pont seulement trois semaines plus tôt, et janvier 2026 a vu près de 400 millions de dollars de vols de cryptomonnaies au total dans l’industrie, selon les données de suivi de sécurité disponibles.
Les compromissions de clés privées – plutôt que les bugs de smart contracts – deviennent de plus en plus le vecteur d’attaque privilégié, contournant totalement le code audité en s’attaquant directement à la sécurité opérationnelle.
À lire aussi : Ripple CEO Puts 90% Odds On Crypto's Most Consequential U.S. Bill Passing By April