2月21日、秘密鍵が漏えいしたことで攻撃者がIoTeXのトークンセーフへ不正アクセスし、推定800万ドル以上に相当する資産を流出させた。その後、資金はEthereumに換金され、THORChainを介してBitcoin (BTC(https://yellow.com/asset/btc)) に送金された。
IoTeXチームは侵害を確認したものの、市場で流布している被害額については異議を唱え、実際の損失は報告されている数字よりも小さいと説明している。
IoTeXのネイティブトークンであるIOTXは、このニュースを受けて約9〜10%下落し、24時間で取引量が急増して500%超となった。
何が起きたのか
ブロックチェーンセキュリティ企業PeckShieldは、X上で今回の攻撃を確認し、ハッカーが流出した秘密鍵を通じてトークンセーフを完全に掌握し、USDC、USDT、IOTX、WBTC、PAYG、BUSDなど複数の資産を引き出したと説明した。
攻撃者は盗んだトークンをETHにスワップしたうえで、そのうち約45 ETHをTHORChainを利用してビットコインアドレスへブリッジした。THORChainは中央集権的な凍結メカニズムを持たないクロスチェーンルーティングプロトコルである。
初期の流出に加え、攻撃者は同じ侵害されたアクセスを悪用して1億1100万CIOTXトークンをミントしたとされ、全ての経路を合計した推定被害額は880万〜900万ドル規模に達している。オンチェーン分析により、攻撃者のウォレットアドレスが3つ特定され、公表されている。
IoTeXの対応
IoTeXは2月21日午前10時30分(UTC)ごろまでに、この侵害を公に認めた。
チームは主要暗号資産取引所およびセキュリティパートナーと連携し、可能な範囲でハッカーの資産の追跡と凍結を進めていると説明し、状況は「コントロール下にある」と述べた。
プロジェクト側は確定した損失額を公表しておらず、初期推定値は「出回っている噂よりもかなり小さい」とだけコメントしている。
関連記事: Italian Tax Police Crack €500K Crypto Evasion Ring - Blockchain Was The Witness(https://yellow.com/news/italian-tax-police-crack-euro500k-crypto-evasion-ring-blockchain-was-the-witness)
なぜ重要なのか
回収の見通しを難しくしているのが、攻撃者が利用したTHORChainの存在だ。THORChainはカストディアンなしでクロスチェーンスワップを処理し、中央集権的主体による凍結ができない。資金がこのルートでビットコインアドレスに到達すると、オンチェーンでの追跡可能性は大幅に低下する。
IoTeXへの侵害は、より広いパターンの一部でもある。CrossCurveは3週間前に別のブリッジエクスプロイトで300万ドルを喪失しており、2026年1月だけで暗号資産関連の窃盗被害は業界全体で約4億ドルに達したと、利用可能なセキュリティ追跡データは示している。
近年では、スマートコントラクトのバグよりも、秘密鍵の流出による侵害が主要な攻撃ベクターとなりつつある。これは、監査済みコードを迂回し、運用上のセキュリティを直接狙う手法である。
関連記事: Ripple CEO Puts 90% Odds On Crypto's Most Consequential U.S. Bill Passing By April(https://yellow.com/news/ripple-ceo-puts-90-odds-on-cryptos-most-consequential-us-bill-passing-by-april)