Компрометація приватного ключа надала зловмиснику несанкціонований доступ до токен-сейфа IoTeX 21 лютого, що дозволило вивести активи на орієнтовну суму понад $8 млн, перш ніж кошти були конвертовані в Ethereum і спрямовані в Bitcoin (BTC) через THORChain.
Команда IoTeX підтвердила злам, але не погодилася з оціночними цифрами збитків, що циркулюють на ринку, заявивши, що реальні втрати нижчі за повідомлювані.
IOTX, нативний токен IoTeX, впав приблизно на 9–10% на тлі новини, тоді як обсяг торгів зріс більш ніж на 500% протягом 24 годин.
Що сталося
Блокчейн-аналітична та безпекова компанія PeckShield підтвердила експлойт у X, заявивши, що хакер отримав повний контроль над токен-сейфом через скомпрометований приватний ключ і вивів кілька активів, зокрема USDC, USDT, IOTX, WBTC, PAYG та BUSD.
Потім зловмисник обміняв викрадені токени на ETH і перекинув приблизно 45 ETH на Bitcoin-адреси, використовуючи THORChain — кросчейн-протокол маршрутизації без централізованого механізму заморозки.
Окрім початкового виведення коштів, зловмисник, за повідомленнями, використав ті самі скомпрометовані облікові дані, щоб замінтити 111 мільйонів токенів CIOTX, що підштовхнуло загальну оцінку збитків до $8,8–9 мільйонів за всіма напрямами. Аналітики в мережі публічно ідентифікували три гаманці зловмисника.
Реакція IoTeX
IoTeX публічно визнав інцидент приблизно о 10:30 за UTC 21 лютого.
Команда заявила, що скоординувала дії з великими криптовалютними біржами та партнерами з безпеки, щоб відстежити й заморозити активи хакера, де це можливо, і описала ситуацію як «під контролем».
Проєкт не розкрив підтверджену суму втрат, заявивши лише, що початкові оцінки «суттєво нижчі за чутки, що циркулюють».
Читайте також: Italian Tax Police Crack €500K Crypto Evasion Ring - Blockchain Was The Witness
Чому це важливо
Перспективи відновлення ускладнюються тим, що зловмисник використав THORChain, який обробляє кросчейн-свопи без кастодіанів і не може бути заморожений централізованими сторонами. Щойно кошти досягають Bitcoin-адрес цим маршрутом, можливості їх подальшого ончейн-відстеження суттєво звужуються.
Злам IoTeX є частиною ширшої тенденції. CrossCurve втратила $3 мільйони в окремому містковому експлойті лише за три тижні до цього, а у січні 2026 року загальний обсяг крадіжок криптовалют по індустрії сягнув майже $400 мільйонів, згідно з доступними даними моніторингу безпеки.
Компрометація приватних ключів — а не вразливості смартконтрактів — дедалі частіше стає основним вектором атак, оминаючи аудит коду й націлюючись безпосередньо на операційну безпеку.
Читайте також: Ripple CEO Puts 90% Odds On Crypto's Most Consequential U.S. Bill Passing By April