2 月 21 日,因私鑰遭到入侵,攻擊者獲得對 IoTeX token safe 的未授權存取權限,在資金被轉換為 Ethereum,並經由 THORChain 路由到 Bitcoin (BTC) 之前,已經盜走估計逾 800 萬美元或以上的資產。
IoTeX 團隊已在 X 上確認 此次安全事故,但對市場流傳的損失金額提出質疑,表示實際損失低於外界報導。
IoTeX 的原生代幣 IOTX 在消息傳出後下跌約 9–10%,而 24 小時內的交易量則暴增 超過 500%。
事件經過
區塊鏈安全公司 PeckShield 在 X 上確認 這次漏洞,稱駭客透過被洩露的私鑰完全控制了 token safe,並提取了多種資產,包括 USDC、USDT、IOTX、WBTC、PAYG,以及 BUSD。
之後,攻擊者將被盜代幣兌換成 ETH,並利用 THORChain 將約 45 ETH 橋接到比特幣地址。THORChain 是一種跨鏈路由協議,沒有集中式凍結機制。
除了最初的資金被洗劫外,攻擊者據稱還利用同一組被入侵的權限增發了 1.11 億枚 CIOTX 代幣,令各層面合計的估計損失接近 880 萬至 900 萬美元。目前已有三個攻擊者錢包地址被鏈上分析師公開標記。
IoTeX 的回應
IoTeX 於 2 月 21 日大約世界協調時間上午 10:30 公開承認遭遇入侵。
團隊表示,已與多家主流加密貨幣交易所及安全合作夥伴協調,盡可能追蹤並凍結駭客資產,並稱目前情況「在掌控之中」。
專案方並未公布確認的最終損失金額,只表示內部的初步估算「顯著低於市場流傳的數字」。
延伸閱讀: Italian Tax Police Crack €500K Crypto Evasion Ring - Blockchain Was The Witness
為何重要
由於攻擊者透過 THORChain 進行操作,後續追討難度大幅提高。THORChain 以無託管方式處理跨鏈兌換,無法由集中式實體強制凍結;一旦資金沿此路徑進入比特幣地址,鏈上可追蹤性便大幅降低。
IoTeX 這次事件也是更廣泛趨勢的一部分。僅在三週前,CrossCurve 就在另一宗跨鏈橋攻擊中損失 300 萬美元,而根據現有安全追蹤數據,2026 年 1 月整體加密貨幣產業遭竊金額接近 4 億美元。
相較於智慧合約漏洞,私鑰被盜正日益成為首選攻擊手法,駭客繞過經過審計的程式碼,直接瞄準營運與金鑰管理的安全弱點。
延伸閱讀: Ripple CEO Puts 90% Odds On Crypto's Most Consequential U.S. Bill Passing By April