Компрометація приватного ключа надала зловмиснику несанкціонований доступ до токен-сейфа IoTeX 21 лютого, що дозволило вивести активи на орієнтовно $8 млн і більше, перш ніж кошти було конвертовано в Ethereum і спрямовано до Bitcoin (BTC) через THORChain.
Команда IoTeX підтвердила злам, але заперечила цифри збитків, що циркулюють на ринку, заявивши, що фактичні втрати нижчі за повідомлювані.
IOTX, нативний токен IoTeX, впав приблизно на 9–10% на тлі новин, тоді як обсяг торгів зріс більш ніж на 500% протягом 24 годин.
Що сталося
Блокчейн‑фірма з безпеки PeckShield підтвердила експлойт у X, заявивши, що хакер отримав повний контроль над токен-сейфом через скомпрометований приватний ключ і вивів кілька активів, зокрема USDC, USDT, IOTX, WBTC, PAYG та BUSD.
Потім зловмисник обміняв викрадені токени на ETH і перекинув приблизно 45 ETH на Bitcoin‑адреси, використовуючи THORChain — кросчейн‑маршрутизатор без централізованого механізму заморожування.
Окрім початкового виведення, хакер нібито використав той самий скомпрометований доступ, щоб карбувати 111 мільйонів токенів CIOTX, підштовхнувши загальну оцінку збитків до $8,8–9 млн по всіх векторах. Три гаманці зловмисника були публічно ідентифіковані ончейн‑аналітиками.
Реакція IoTeX
IoTeX публічно визнав інцидент приблизно о 10:30 за UTC 21 лютого.
Команда заявила, що координує дії з основними криптобіржами та партнерами з безпеки, щоб відстежити й заморозити активи хакера там, де це можливо, і описала ситуацію як «під контролем».
Проєкт не розкрив підтверджену суму збитків, зазначивши лише, що початкові оцінки «значно нижчі за чутки, що циркулюють».
Читайте також: Italian Tax Police Crack €500K Crypto Evasion Ring - Blockchain Was The Witness
Чому це важливо
Перспективи повернення коштів ускладнює використання зловмисником THORChain, який обробляє кросчейн‑свопи без кастодіанів і не може бути заморожений централізованими сторонами. Коли кошти через цей маршрут потрапляють на Bitcoin‑адреси, можливості ончейн‑відстеження суттєво звужуються.
Злам IoTeX є частиною ширшого тренду. CrossCurve втратила $3 млн в окремому міст‑експлойті лише трьома тижнями раніше, а в січні 2026 року загальний обсяг крадіжок криптовалют у галузі сягнув майже $400 млн, згідно з доступними даними моніторингу безпеки.
Компрометації приватних ключів — на відміну від багів у смартконтрактах — дедалі частіше стають улюбленим вектором атак, повністю оминаючи аудійований код шляхом націлення на операційну безпеку.
Читайте також: Ripple CEO Puts 90% Odds On Crypto's Most Consequential U.S. Bill Passing By April