Kebocoran private key memberi penyerang akses tidak sah ke token safe IoTeX pada 21 Feb, menguras aset senilai sekitar $8 juta atau lebih sebelum dana dikonversi ke Ethereum dan dialirkan ke Bitcoin (BTC) melalui THORChain.
Tim IoTeX mengonfirmasi pelanggaran tersebut namun membantah angka kerugian yang beredar di pasar, dengan menyatakan bahwa kerugian aktual lebih rendah dari yang dilaporkan.
IOTX, token native IoTeX, turun sekitar 9–10% setelah berita ini, dengan volume perdagangan melonjak lebih dari 500% dalam 24 jam.
Apa yang Terjadi
Firma keamanan blockchain PeckShield mengonfirmasi eksploit tersebut di X, menyatakan bahwa peretas mendapatkan kendali penuh atas token safe melalui private key yang dikompromikan dan mengekstrak berbagai aset termasuk USDC, USDT, IOTX, WBTC, PAYG, dan BUSD.
Penyerang kemudian menukar token curian tersebut ke ETH dan menjembatani sekitar 45 ETH ke alamat Bitcoin menggunakan THORChain - sebuah protokol routing lintas-rantai tanpa mekanisme pembekuan tersentralisasi.
Di luar pengurasan awal, penyerang diduga mengeksploitasi akses yang sama untuk mencetak 111 juta token CIOTX, mendorong total estimasi kerusakan ke kisaran $8,8 juta hingga $9 juta di seluruh vektor. Tiga alamat dompet penyerang telah diidentifikasi secara publik oleh analis on-chain.
Respons IoTeX
IoTeX mengakui pelanggaran ini secara publik sekitar pukul 10:30 pagi UTC pada 21 Feb.
Tim menyatakan telah berkoordinasi dengan bursa kripto besar dan mitra keamanan untuk melacak dan membekukan aset peretas sejauh memungkinkan, serta menggambarkan situasi sebagai “terkendali.”
Proyek tersebut tidak mengungkap angka kerugian yang telah dikonfirmasi, hanya mengatakan bahwa estimasi awal “jauh lebih rendah daripada rumor yang beredar.”
Baca juga: Italian Tax Police Crack €500K Crypto Evasion Ring - Blockchain Was The Witness
Mengapa Ini Penting
Prospek pemulihan rumit karena penggunaan THORChain oleh penyerang, yang memproses swap lintas-rantai tanpa kustodian dan tidak dapat dibekukan oleh pihak tersentralisasi. Setelah dana mencapai alamat Bitcoin melalui jalur tersebut, ketertelusuran on-chain berkurang secara signifikan.
Pelanggaran IoTeX ini adalah bagian dari pola yang lebih luas. CrossCurve kehilangan $3 juta dalam eksploit jembatan terpisah hanya tiga minggu sebelumnya, dan pada Januari 2026 hampir $400 juta total pencurian kripto terjadi di seluruh industri, menurut data pelacakan keamanan yang tersedia.
Kompromi private key – bukan bug smart contract – semakin menjadi vektor serangan pilihan, mengabaikan kode yang telah diaudit dengan langsung menargetkan keamanan operasional.
Baca juga: Ripple CEO Puts 90% Odds On Crypto's Most Consequential U.S. Bill Passing By April