2월 21일 발생한 개인 키 유출로 인해 공격자는 IoTeX의 토큰 세이프에 무단으로 접근해 약 800만 달러 이상으로 추정되는 자산을 탈취한 뒤, 이를 이더리움으로 전환하고 THORChain을 통해 Bitcoin (BTC)으로 라우팅했다.
IoTeX 팀은 해당 침해 사실을 인정했지만, 시장에 퍼진 피해 규모 추산에 이견을 제기하며 실제 손실액은 보고된 수치보다 적다고 밝혔다.
IoTeX의 네이티브 토큰인 IOTX는 이 소식이 전해진 뒤 약 9–10% 하락했으며, 24시간 내 거래량은 500% 이상 급증했다.
사건 경위
블록체인 보안업체 PeckShield는 X를 통해 이번 익스플로잇을 확인하며, 해커가 유출된 개인 키를 통해 토큰 세이프에 대한 완전한 통제권을 획득했고, USDC, USDT, IOTX, WBTC, PAYG, BUSD 등 다수의 자산을 인출했다고 설명했다.
이후 공격자는 탈취한 토큰들을 ETH로 스왑한 뒤, 약 45 ETH를 THORChain을 통해 비트코인 주소로 브리지했다. THORChain은 중앙화된 동결 메커니즘이 없는 크로스체인 라우팅 프로토콜이다.
초기 유출 외에도, 공격자는 같은 유출된 접근 권한을 악용해 1억 1,100만 개의 CIOTX 토큰을 추가로 발행한 것으로 추정되며, 이로 인해 전체 피해 규모 추산치는 약 880만~900만 달러 수준까지 확대됐다. 온체인 분석가들은 공격자 지갑 주소 세 개를 공개적으로 식별했다.
IoTeX의 대응
IoTeX는 2월 21일 UTC 기준 오전 10시 30분경, 공개적으로 침해 사실을 인정했다.
팀은 주요 암호화폐 거래소 및 보안 파트너와 공조해 공격자의 자산을 가능한 범위 내에서 추적·동결하고 있다고 밝혔으며, 상황을 “통제 하에 있다”고 설명했다.
프로젝트 측은 구체적인 확정 손실액을 공개하지 않고, 초기 내부 추산치는 “시장에 퍼진 소문보다 상당히 낮다”고만 언급했다.
함께 읽기: Italian Tax Police Crack €500K Crypto Evasion Ring - Blockchain Was The Witness
왜 중요한가
공격자가 사용한 THORChain은 커스터디 없이 크로스체인 스왑을 처리하며, 중앙 주체가 트랜잭션을 동결할 수 없는 구조라 자금 회수 가능성을 복잡하게 만든다. 이 경로를 통해 자금이 비트코인 주소로 이동하면 온체인 추적 범위는 크게 좁아진다.
IoTeX 침해는 더 큰 패턴의 일부다. CrossCurve는 불과 3주 전 별도의 브리지 익스플로잇으로 300만 달러를 손실했고, 이용 가능한 보안 추적 데이터에 따르면 2026년 1월 한 달 동안 업계 전반에서 발생한 암호화폐 도난 피해는 총 4억 달러에 육박했다.
스마트 컨트랙트 버그가 아닌 개인 키 유출이 공격 벡터로 점점 더 선호되고 있으며, 이는 감사를 마친 코드 자체가 아니라 운영 보안을 직접 겨냥해 우회하는 방식이다.
함께 읽기: Ripple CEO Puts 90% Odds On Crypto's Most Consequential U.S. Bill Passing By April