21 Şubat’ta yaşanan özel anahtar sızıntısı, bir saldırgana IoTeX’in token kasasına yetkisiz erişim sağladı. Saldırgan, yaklaşık 8 milyon dolar veya daha fazla değerde varlığı boşalttıktan sonra bu fonları Ethereum’a çevirdi ve THORChain aracılığıyla Bitcoin (BTC)(https://yellow.com/asset/btc) ağına yönlendirdi.
IoTeX ekibi, ihlali X üzerinden doğruladı (https://x.com/iotex_io/status/2025158438901481840), ancak piyasada dolaşan zarar rakamlarına itiraz ederek gerçek kayıpların bildirilen tutarlardan daha düşük olduğunu söyledi.
IoTeX’in yerel token’ı IOTX, haberlerin ardından yaklaşık %9–10 civarında değer kaybederken, işlem hacmi 24 saat içinde %500’ün üzerinde artış gösterdi (https://www.coingecko.com/en/coins/iotex).
Ne Oldu?
Blokzincir güvenlik firması PeckShield, X hesabı üzerinden (https://x.com/PeckShieldAlert) saldırıyı doğruladı ve saldırganın, ele geçirilen özel anahtar sayesinde token kasasının tam kontrolünü ele geçirdiğini açıkladı. Saldırgan, USDC, USDT, IOTX, WBTC, PAYG ve BUSD dahil olmak üzere birden fazla varlığı çekti.
Ardından saldırgan, çaldığı token’ları ETH ile takas etti ve yaklaşık 45 ETH’yi, merkezi bir dondurma mekanizması bulunmayan, zincirler arası yönlendirme protokolü THORChain’i kullanarak Bitcoin adreslerine aktardı.
İlk boşaltmanın ötesinde, saldırganın aynı ele geçirilmiş erişimi kullanarak 111 milyon CIOTX token bastığı iddia ediliyor. Böylece toplam tahmini zarar, tüm vektörler dâhil edildiğinde 8,8 ila 9 milyon dolar aralığına yükseliyor. Zincir üstü analistler, saldırgana ait üç cüzdan adresini kamuya açık şekilde tespit etti.
IoTeX’in Yanıtı
IoTeX, 21 Şubat’ta yaklaşık 10:30 UTC civarında ihlali kamuoyuna duyurdu.
Ekip, büyük kripto para borsaları ve güvenlik ortaklarıyla koordinasyon sağlayarak, mümkün olan yerlerde saldırganın varlıklarının izini sürmek ve dondurmak için harekete geçtiklerini, durumun “kontrol altında” olduğunu ifade etti.
Proje, kesin zarar tutarını açıklamadı; yalnızca ilk tahminlerin, piyasada dolaşan söylentilerden “kayda değer ölçüde daha düşük” olduğunu belirtti.
Ayrıca okuyun: Italian Tax Police Crack €500K Crypto Evasion Ring - Blockchain Was The Witness
Neden Önemli?
Kurtarma ihtimalleri, saldırganın THORChain kullanması nedeniyle karmaşıklaşıyor. THORChain, saklama kuruluşları olmadan zincirler arası takasları işliyor ve merkezi bir otorite tarafından dondurulamıyor. Fonlar bu güzergâh üzerinden Bitcoin adreslerine ulaştığında, zincir üstü izlenebilirlik önemli ölçüde daralıyor.
IoTeX ihlali, daha geniş bir eğilimin parçası. CrossCurve, yalnızca üç hafta önce ayrı bir köprü saldırısında 3 milyon dolar kaybetti (https://rekt.news) ve mevcut güvenlik takip verilerine göre Ocak 2026’da endüstri genelinde neredeyse 400 milyon dolar tutarında kripto para çalındı.
Akıllı sözleşme hataları yerine, özel anahtar sızıntıları giderek başlıca saldırı vektörü hâline geliyor; bu yöntem, denetlenmiş kodu tamamen atlayarak doğrudan operasyonel güvenliği hedef alıyor.
Ayrıca okuyun: Ripple CEO Puts 90% Odds On Crypto's Most Consequential U.S. Bill Passing By April