2 月 21 日,私鑰遭到洩露,令攻擊者取得 IoTeX token safe 的未授權存取權限,在資金被轉換為 Ethereum,並透過 THORChain 路由至 Bitcoin (BTC) 之前,已經洗劫走約 800 萬美元或以上的資產。
IoTeX 團隊已在 X 上證實 今次入侵事件,但對市場流傳的損失金額提出質疑,表示實際損失低於外界報道。
IOTX(IoTeX 原生代幣)在消息傳出後下跌約 9–10%,而 24 小時內交易量則激增 超過 500%。
事件經過
區塊鏈安全公司 PeckShield 在 X 上確認 這次漏洞,指黑客透過遭入侵的私鑰,完全控制了 token safe,並轉移多種資產,包括 USDC、USDT、IOTX、WBTC、PAYG 和 BUSD。
之後,攻擊者將盜取的代幣兌換成 ETH,並透過 THORChain(沒有中心化凍結機制的跨鏈路由協議)將約 45 ETH 橋接到 Bitcoin 地址。
除了最初的資金被轉出外,攻擊者據報還利用同一組被入侵的權限鑄造了 1.11 億枚 CIOTX 代幣,令整體估計損失金額提升至約 880 萬至 900 萬美元。鏈上分析師已公開標示出三個疑似攻擊者錢包地址。
IoTeX 的回應
IoTeX 於 2 月 21 日約 UTC 時間早上 10:30 公開承認發生安全事故。
團隊表示,已與多家主要加密貨幣交易所及安全合作夥伴協調,盡可能追蹤並凍結黑客資產,並形容情況「已受控制」。
專案方並未公布確切損失金額,只表示初步估算「遠低於市場流傳的數字」。
延伸閱讀: Italian Tax Police Crack €500K Crypto Evasion Ring - Blockchain Was The Witness
事件重要性
由於攻擊者利用 THORChain 進行操作,資金追討前景變得更加複雜。THORChain 以無託管方式處理跨鏈交換,無法被中心化實體凍結;一旦資金經此路徑到達 Bitcoin 地址,鏈上追蹤的難度將大幅增加。
IoTeX 今次被攻擊,屬於更大趨勢的一部分。在此之前三星期,CrossCurve 於另一宗橋接漏洞中損失 300 萬美元;而根據現有安全監測數據,2026 年 1 月全行業加密貨幣失竊總額接近 4 億美元。
相較於智能合約漏洞,私鑰外洩正愈來愈常成為攻擊者主要的攻擊手法,繞過已通過審計的程式碼,直接鎖定營運安全層面下手。
延伸閱讀: Ripple CEO Puts 90% Odds On Crypto's Most Consequential U.S. Bill Passing By April