Kompromi kunci privat memberi penyerang akses tidak sah ke token safe IoTeX pada 21 Februari, menguras aset senilai sekitar $8 juta atau lebih sebelum dana dikonversi ke Ethereum dan dialirkan ke Bitcoin (BTC) via THORChain.
Tim IoTeX mengonfirmasi pelanggaran tersebut namun membantah angka kerugian yang beredar di pasar, dengan menyatakan bahwa kerugian aktual lebih rendah dari yang dilaporkan.
IOTX, token asli IoTeX, turun sekitar 9–10% setelah berita itu, dengan volume perdagangan melonjak lebih dari 500% dalam 24 jam.
Apa yang Terjadi
Firma keamanan blockchain PeckShield mengonfirmasi eksploitasi tersebut di X, menyatakan bahwa peretas memperoleh kendali penuh atas token safe melalui kunci privat yang dikompromikan dan mengekstraksi berbagai aset termasuk USDC, USDT, IOTX, WBTC, PAYG, dan BUSD.
Penyerang kemudian menukar token curian tersebut menjadi ETH dan menjembatani sekitar 45 ETH ke alamat Bitcoin menggunakan THORChain - sebuah protokol routing lintas-rantai tanpa mekanisme pembekuan terpusat.
Di luar pengurasan awal, penyerang diduga mengeksploitasi akses yang sama untuk mencetak 111 juta token CIOTX, mendorong total kerusakan yang diperkirakan ke kisaran $8,8 juta hingga $9 juta di semua vektor. Tiga alamat dompet penyerang telah diidentifikasi secara publik oleh analis on-chain.
Respons IoTeX
IoTeX mengakui pelanggaran tersebut secara publik sekitar pukul 10:30 pagi UTC pada 21 Februari.
Tim menyatakan bahwa mereka telah berkoordinasi dengan bursa kripto besar dan mitra keamanan untuk melacak dan membekukan aset peretas sejauh mungkin, dan menggambarkan situasinya sebagai “terkendali.”
Proyek tersebut tidak mengungkapkan angka kerugian yang dikonfirmasi, hanya menyebutkan bahwa perkiraan awal “jauh lebih rendah dari rumor yang beredar.”
Baca juga: Italian Tax Police Crack €500K Crypto Evasion Ring - Blockchain Was The Witness
Mengapa Ini Penting
Prospek pemulihan rumit karena penggunaan THORChain oleh penyerang, yang memproses swap lintas-rantai tanpa kustodian dan tidak dapat dibekukan oleh pihak terpusat. Setelah dana mencapai alamat Bitcoin melalui jalur tersebut, keterlacakan on-chain menjadi jauh lebih sempit.
Pelanggaran IoTeX merupakan bagian dari pola yang lebih luas. CrossCurve kehilangan $3 juta dalam eksploitasi bridge terpisah hanya tiga minggu sebelumnya, dan Januari 2026 menyaksikan hampir $400 juta pencurian kripto secara total di seluruh industri, menurut data pelacakan keamanan yang tersedia.
Kompromi kunci privat - bukan bug smart contract - makin menjadi vektor serangan pilihan, melewati kode yang telah diaudit sepenuhnya dengan menargetkan keamanan operasional.
Baca juga: Ripple CEO Puts 90% Odds On Crypto's Most Consequential U.S. Bill Passing By April