2月21日、秘密鍵の侵害により攻撃者がIoTeXのトークンセーフへ不正アクセスし、 約800万ドル以上と推定される資産が流出した。その後、資金はEthereumに 変換されたうえで、THORChainを通じてBitcoin(BTC)へ ルーティングされた。
IoTeXチームは侵害を確認したものの、 市場で流布している被害額については異議を唱え、実際の損失は報告されている数字より 低いと説明している。
IoTeXのネイティブトークンであるIOTXは、このニュースを受けて約9〜10%下落し、 24時間での取引高は急増して500%超となった。
何が起きたのか
ブロックチェーンセキュリティ企業PeckShieldはX上でこのエクスプロイトを 確認し、ハッカーが侵害された秘密鍵を通じて トークンセーフを完全に掌握し、USDC、 USDT、IOTX、 WBTC、PAYG、 BUSDなど複数の資産を抜き取ったと述べた。
攻撃者は盗んだトークンをETHにスワップした後、約45ETHをTHORChainを利用して ビットコインアドレスへブリッジした。THORChainは中央集権的な凍結メカニズムを 持たないクロスチェーン・ルーティングプロトコルである。
初期の流出に加え、攻撃者は同じ侵害されたアクセス権限を悪用して 1億1,100万CIOTXトークンをミントしたとされ、すべての経路を合計した推定被害額は 約880万〜900万ドルに達している。オンチェーン分析者により、 攻撃者のウォレットアドレス3件が公表された。
IoTeXの対応
IoTeXは2月21日午前10時30分(UTC)頃に公に侵害を認めた。
チームは、大手暗号資産取引所やセキュリティパートナーと連携し、 可能な範囲でハッカーの資産を追跡・凍結していると述べ、状況は 「コントロール下にある」と表現した。
また、具体的な確定損失額は開示せず、初期推計は 「流布している噂よりもかなり低い」とだけコメントしている。
関連記事: Italian Tax Police Crack €500K Crypto Evasion Ring - Blockchain Was The Witness
なぜ重要なのか
攻撃者がTHORChainを利用したことで、資金回収の見通しは複雑になっている。 THORChainはカストディアンなしでクロスチェーンスワップを処理し、 中央集権的主体による凍結が不可能な仕組みだ。その経路を通じて資金が ビットコインアドレスに到達すると、オンチェーンでの追跡可能性は かなり限定される。
IoTeXの侵害は、より広いパターンの一部でもある。CrossCurveは3週間前に 別のブリッジエクスプロイトで300万ドルを損失しており、 利用可能なセキュリティ追跡データによれば、2026年1月だけで 業界全体の暗号資産窃盗被害は総額4億ドル近くに達した。
近年、攻撃ベクターとしてはスマートコントラクトのバグではなく、 監査済みコードを迂回し運用セキュリティを直接狙う 秘密鍵の侵害が主流になりつつある。
関連記事: Ripple CEO Puts 90% Odds On Crypto's Most Consequential U.S. Bill Passing By April