2 月 21 日,因私鑰遭到破解,攻擊者取得對 IoTeX 代幣保管庫的未授權存取權限,在資產被兌換為 Ethereum 並經由 THORChain 路由至 Bitcoin(BTC)之前,先後轉出估計逾 800 萬美元的資產。
IoTeX 團隊已在 X 上確認此次入侵事件,但對市場流傳的損失金額提出質疑,表示實際損失低於外界報導。
受消息影響,IoTeX 原生代幣 IOTX 價格大約下跌 9–10%,而 24 小時內交易量則暴增超過 500%。
事件經過
區塊鏈安全公司 PeckShield 在 X 上證實此一攻擊,指出駭客透過遭到洩露的私鑰完全控制了代幣保管庫,並轉出多種資產,包括 USDC、USDT、IOTX、WBTC、PAYG 與 BUSD。
攻擊者其後將竊得代幣兌換為 ETH,並透過 THORChain(這是一種無中心化凍結機制的跨鏈路由協議)將約 45 ETH 橋接至比特幣地址。
除了最初的資金掏空外,攻擊者疑似利用同一組被入侵的存取權限,額外鑄造了 1.11 億枚 CIOTX 代幣,將整體估計損失推高至約 880 萬至 900 萬美元。鏈上分析師已公開標記出三個與攻擊者相關的錢包地址。
IoTeX 的回應
IoTeX 約在 2 月 21 日協調世界協調時間(UTC)上午 10:30 左右公開承認遭到入侵。
團隊表示,已與多家大型加密貨幣交易所及安全合作夥伴協調,盡可能追蹤並凍結駭客資產,並將目前情勢形容為「在掌控之中」。
專案方並未公布最終確認的損失數字,只是表示內部初步估算「明顯低於市場流傳的謠言」。
延伸閱讀: Italian Tax Police Crack €500K Crypto Evasion Ring - Blockchain Was The Witness
為何此事重要
攻擊者利用 THORChain 讓後續追討變得更加棘手。THORChain 以無託管方式處理跨鏈交換,無法被中心化機構凍結;一旦資金經此路徑進入比特幣地址,鏈上可追蹤的空間就大幅縮小。
IoTeX 此次被駭也反映出更廣泛的趨勢。三週前,CrossCurve 在另一宗橋接協議攻擊事件中損失了 300 萬美元,而根據現有的安全追蹤數據,2026 年 1 月全市場加密貨幣竊盜總額接近 4 億美元。
與智慧合約漏洞相比,私鑰洩露正日益成為攻擊者偏好的手法。這類攻擊繞過了經過稽核的程式碼,直接瞄準營運安全與金鑰管理層面。
延伸閱讀: Ripple CEO Puts 90% Odds On Crypto's Most Consequential U.S. Bill Passing By April