Компрометация приватного ключа дала атакующему несанкционированный доступ к токен-сейфу IoTeX 21 февраля, что позволило вывести активы ориентировочной стоимостью $8 млн и более до того, как средства были конвертированы в Ethereum и направлены в Bitcoin (BTC) через THORChain.
Команда IoTeX подтвердила взлом, но оспорила оценки ущерба, циркулирующие на рынке, заявив, что реальные потери ниже сообщаемых.
IOTX, нативный токен IoTeX, упал примерно на 9–10% на фоне новости, а торговый объём вырос более чем на 500% в течение 24 часов.
Что произошло
Блокчейн-аналитическая и безопасность фирма PeckShield подтвердила эксплойт в X, заявив, что хакер получил полный контроль над токен-сейфом через скомпрометированный приватный ключ и вывел несколько активов, включая USDC, USDT, IOTX, WBTC, PAYG и BUSD.
Затем атакующий обменял похищенные токены на ETH и перебросил около 45 ETH на биткоин-адреса, используя THORChain — кроссчейн-маршрутизатор без централизованного механизма заморозки.
Помимо первоначального опустошения, сообщается, что атакующий воспользовался тем же скомпрометированным доступом для выпуска 111 млн CIOTX, что подняло общую оценку ущерба до примерно $8,8–9 млн по всем векторам. Три адреса кошельков атакующего были публично идентифицированы ончейн-аналитиками.
Реакция IoTeX
IoTeX публично признал инцидент примерно в 10:30 по UTC 21 февраля.
Команда заявила, что скоординировала действия с крупными криптовалютными биржами и партнёрами по безопасности для отслеживания и замораживания активов хакера там, где это возможно, охарактеризовав ситуацию как «под контролем».
Проект не раскрыл подтверждённую сумму потерь, заявив лишь, что первоначальные оценки «значительно ниже циркулирующих слухов».
Читайте также: Italian Tax Police Crack €500K Crypto Evasion Ring - Blockchain Was The Witness
Почему это важно
Перспективы возврата средств осложняются использованием атакующим THORChain, который осуществляет кроссчейн-свапы без кастодианов и не может быть заморожен централизованными сторонами. Когда средства достигают биткоин-адресов таким путём, возможности ончейн-трейсинга существенно сужаются.
Взлом IoTeX является частью более широкой тенденции. CrossCurve потерял $3 млн в результате отдельного эксплойта моста всего за три недели до этого, а в январе 2026 года общий объём краж криптовалют в индустрии приблизился к $400 млн, согласно доступным данным систем отслеживания безопасности.
Компрометация приватных ключей — а не ошибки в смарт-контрактах — всё чаще становится вектором атак, позволяя обходить полностью аудированный код за счёт атаки на операционную безопасность.
Читайте также: Ripple CEO Puts 90% Odds On Crypto's Most Consequential U.S. Bill Passing By April