一組遭到洩漏的私鑰,讓攻擊者在 2 月 21 日取得 IoTeX 代幣金庫的未授權存取權限,並在資金被兌換為 Ethereum 後,透過 THORChain 路由到 Bitcoin (BTC(https://yellow.com/asset/btc)),在此之前已經掏空估計至少 800 萬美元的資產。
IoTeX 團隊已確認這次入侵事件,但對市場流傳的損失數字提出質疑,表示實際損失低於外界報導。
IoTeX 的原生代幣 IOTX 在消息傳出後下跌約 9–10%,24 小時內交易量暴增逾 500%。
事件經過
區塊鏈安全公司 PeckShield 在 X 上確認這起攻擊,指出駭客透過遭到洩漏的私鑰完全掌控代幣金庫,並提取多種資產,包括 USDC(https://yellow.com/asset/usdc)、USDT(https://yellow.com/asset/usdt)、IOTX(https://yellow.com/asset/iotx)、WBTC(https://yellow.com/assets?search=WBTC)、PAYG 和 BUSD(https://yellow.com/asset/busd)。
攻擊者之後將竊得的代幣兌換成 ETH,並透過 THORChain 將約 45 枚 ETH 橋接到比特幣地址。THORChain 是一種跨鏈路由協議,沒有集中式的凍結機制。
除了最初的掏空行為外,攻擊者疑似利用同一組遭入侵的權限,鑄造了 1.11 億枚 CIOTX 代幣,使得所有向量加總後的預估損失金額提升到約 880 萬至 900 萬美元。鏈上分析人士已公開識別出三個與攻擊者相關的錢包地址。
IoTeX 的回應
IoTeX 大約在 2 月 21 日世界標準時間上午 10:30 公開承認這起入侵事件。
團隊表示,已與主要加密貨幣交易所及安全合作夥伴協調,儘可能追蹤並凍結駭客資產,並將情況形容為「已在掌控之中」。
該專案並未公布確認的最終損失數字,只表示內部初步估算「顯著低於市場流傳的謠言」。
延伸閱讀: Italian Tax Police Crack €500K Crypto Evasion Ring - Blockchain Was The Witness(https://yellow.com/news/italian-tax-police-crack-euro500k-crypto-evasion-ring-blockchain-was-the-witness)
為何重要
由於攻擊者使用 THORChain,使得後續追討難度提高。THORChain 以無託管方式處理跨鏈兌換,無法被集中式機構凍結。一旦資金透過該路徑進入比特幣地址,鏈上可追蹤性就大幅下降。
IoTeX 遭駭事件並非孤例。僅在三週前,CrossCurve 就在另一起橋接攻擊事件中損失了 300 萬美元,而根據現有的安全追蹤數據,2026 年 1 月整體加密產業的竊盜金額接近 4 億美元。
與智慧合約漏洞相比,私鑰外洩正越來越常被攻擊者利用,成為首選攻擊向量。這類手法完全繞過已審計的程式碼,直接針對營運安全與密鑰管理下手。
延伸閱讀: Ripple CEO Puts 90% Odds On Crypto's Most Consequential U.S. Bill Passing By April(https://yellow.com/news/ripple-ceo-puts-90-odds-on-cryptos-most-consequential-us-bill-passing-by-april)