Kompromitacja klucza prywatnego dała atakującemu nieautoryzowany dostęp do skarbca tokenów IoTeX 21 lutego, co pozwoliło na wyprowadzenie aktywów o szacunkowej wartości co najmniej 8 mln USD, zanim środki zostały skonwertowane na Ethereum i przesłane do Bitcoin (BTC) za pośrednictwem THORChain.
Zespół IoTeX potwierdził włamanie, ale zakwestionował krążące na rynku szacunki strat, twierdząc, że rzeczywiste szkody są niższe niż raportowane.
IOTX, natywny token IoTeX, spadł o około 9–10% po ogłoszeniu informacji, a wolumen obrotu wzrósł o ponad 500% w ciągu 24 godzin.
Co się stało
Firma zajmująca się bezpieczeństwem blockchain PeckShield potwierdziła atak na platformie X, stwierdzając, że haker uzyskał pełną kontrolę nad skarbcem tokenów poprzez przejęty klucz prywatny i wyprowadził wiele aktywów, w tym USDC, USDT, IOTX, WBTC, PAYG i BUSD.
Następnie atakujący wymienił skradzione tokeny na ETH i przesłał około 45 ETH na adresy Bitcoina, korzystając z THORChain – protokołu routingu międzyłańcuchowego pozbawionego scentralizowanego mechanizmu zamrażania środków.
Poza początkowym drenażem, atakujący miał wykorzystać ten sam skompromitowany dostęp do wybicia 111 mln tokenów CIOTX, co podniosło łączną szacowaną wartość szkód do ok. 8,8–9 mln USD we wszystkich wektorach ataku. Analitycy on-chain publicznie zidentyfikowali trzy adresy portfeli należących do atakującego.
Reakcja IoTeX
IoTeX publicznie potwierdził naruszenie około godziny 10:30 UTC 21 lutego.
Zespół poinformował, że skoordynował działania z głównymi giełdami kryptowalut i partnerami ds. bezpieczeństwa, aby śledzić i zamrażać środki hakera tam, gdzie to możliwe, i określił sytuację jako „pod kontrolą”.
Projekt nie ujawnił ostatecznej kwoty strat, podając jedynie, że wstępne szacunki są „znacząco niższe niż krążące pogłoski”.
Czytaj także: Italian Tax Police Crack €500K Crypto Evasion Ring - Blockchain Was The Witness
Dlaczego to ważne
Perspektywy odzyskania środków są skomplikowane przez fakt, że atakujący wykorzystał THORChain, który realizuje międzyłańcuchowe swapy bez powierników i nie może być zamrożony przez scentralizowane podmioty. Gdy środki trafią na adresy Bitcoina tą drogą, możliwości ich dalszego śledzenia on-chain znacząco maleją.
Naruszenie IoTeX wpisuje się w szerszy trend. CrossCurve stracił 3 mln USD w osobnym ataku na most zaledwie trzy tygodnie wcześniej, a w samym styczniu 2026 r. branża kryptowalut odnotowała niemal 400 mln USD łącznych kradzieży, według dostępnych danych z monitoringu bezpieczeństwa.
Kompromitacje kluczy prywatnych – a nie błędy w smart kontraktach – stają się coraz częściej wybieranym wektorem ataku, całkowicie omijając audytowany kod poprzez uderzenie w bezpieczeństwo operacyjne.
Czytaj także: Ripple CEO Puts 90% Odds On Crypto's Most Consequential U.S. Bill Passing By April