2월 21일 발생한 프라이빗 키 유출로 인해 공격자는 IoTeX의 토큰 세이프에 무단으로 접근해, 약 800만 달러 이상으로 추정되는 자산을 유출한 뒤 이를 이더리움으로 전환하고, THORChain을 통해 Bitcoin (BTC) 으로 라우팅했다.
IoTeX 팀은 이번 침해 사실을 공식 확인했지만, 시장에 퍼진 피해 규모에는 이견을 제기하며 실제 손실은 보고된 수치보다 적다고 밝혔다.
IoTeX의 네이티브 토큰인 IOTX는 해킹 뉴스 직후 약 9~10% 하락했으며, 24시간 내 거래량은 500% 이상 급증했다.
무슨 일이 있었나
블록체인 보안 업체 PeckShield는 X에서 이번 익스플로잇을 확인하며, 해커가 프라이빗 키가 유출된 토큰 세이프를 완전히 장악해 USDC, USDT, IOTX, WBTC, PAYG, BUSD 등 여러 자산을 인출했다고 밝혔다.
공격자는 이후 탈취한 토큰을 ETH로 스왑한 뒤, 약 45 ETH를 THORChain을 사용해 비트코인 주소로 브리지했다. THORChain은 중앙화된 동결 메커니즘이 없는 크로스체인 라우팅 프로토콜이다.
초기 유출 외에도, 공격자는 동일한 유출 권한을 이용해 1억 1,100만 개의 CIOTX 토큰을 발행한 것으로 알려졌으며, 이로 인해 총 피해 규모는 모든 공격 경로를 합쳐 약 880만~900만 달러에 이르는 것으로 추정된다. 온체인 분석가들은 공격자 지갑 주소 3개를 공개적으로 식별했다.
IoTeX의 대응
IoTeX는 2월 21일 UTC 기준 약 오전 10시 30분경 이번 침해 사실을 공개적으로 인정했다.
팀은 주요 암호화폐 거래소 및 보안 파트너들과 공조해 가능한 범위 내에서 해커 자산을 추적·동결하고 있다고 밝히며, 상황을 “통제 가능한 상태”라고 설명했다.
프로젝트 측은 확정 피해액은 공개하지 않았고, 초기 추산치는 “떠도는 소문보다 상당히 낮다”고만 언급했다.
함께 읽기: Italian Tax Police Crack €500K Crypto Evasion Ring - Blockchain Was The Witness
왜 중요한가
공격자가 THORChain을 사용했다는 점이 자금 회수 가능성을 복잡하게 만든다. THORChain은 커스터디 없이 크로스체인 스왑을 처리하며, 중앙화된 주체가 임의로 거래를 동결할 수 없다. 이 경로를 통해 자금이 비트코인 주소에 도달하면, 온체인 추적 가능성은 크게 좁아진다.
IoTeX 침해는 더 큰 흐름의 일부다. CrossCurve는 불과 3주 전 별도의 브리지 익스플로잇으로 300만 달러를 손실했으며, 이용 가능한 보안 추적 데이터에 따르면 2026년 1월 한 달 동안 업계 전체 암호화폐 도난 규모는 약 4억 달러에 달했다.
스마트 컨트랙트 버그가 아닌 프라이빗 키 유출이 점점 더 선호되는 공격 벡터로 자리잡고 있으며, 이는 코드 감사를 우회해 운영 보안을 직접 겨냥하는 방식이다.
함께 읽기: Ripple CEO Puts 90% Odds On Crypto's Most Consequential U.S. Bill Passing By April