2 月 21 日,私钥被攻破后,攻击者获得了对 IoTeX 代币金库的未授权访问权限,在资金被兑换为以太坊并通过 THORChain 路由至 Bitcoin (BTC) 之前,已转出估计价值 800 万美元或更多的资产。
IoTeX 团队已在 确认 事件发生的同时,对市场流传的损失数字提出质疑,表示实际损失低于相关报道。
IoTeX 原生代币 IOTX 在消息公布后下跌约 9–10%,其交易量在 24 小时内 激增 超过 500%。
事件经过
区块链安全公司 PeckShield 在 X 上 确认 该漏洞,并表示黑客通过被泄露的私钥完全控制了代币金库,转出了包括 USDC、USDT、IOTX、WBTC、PAYG 和 BUSD 在内的多种资产。
随后,攻击者将盗取的代币兑换为 ETH,并通过 THORChain 将约 45 枚 ETH 跨链至比特币地址。THORChain 是一种跨链路由协议,没有中心化冻结机制。
除了最初的资金被转出外,攻击者据称还利用同一被攻破的权限铸造了 1.11 亿枚 CIOTX 代币,使得各类攻击向量下的总损失估算提升至约 880 万至 900 万美元。链上分析人士已公开识别出三个与攻击者相关的钱包地址。
IoTeX 的应对
IoTeX 在 2 月 21 日世界标准时间上午约 10:30 正式对外确认了此次安全事件。
团队表示,已与主要加密货币交易所及安全合作伙伴展开协作,在可能的范围内追踪并冻结黑客资产,并称局势“已得到控制”。
项目方并未披露最终确认的损失金额,仅表示初步估算“明显低于市场流传的数字”。
延伸阅读: Italian Tax Police Crack €500K Crypto Evasion Ring - Blockchain Was The Witness
事件影响
由于攻击者使用了 THORChain,追讨被盗资产的前景变得更加复杂。THORChain 以无托管方式处理跨链兑换,无法被中心化机构冻结;资金一旦通过该路径进入比特币地址,后续在链上的可追踪性将大幅降低。
IoTeX 此次被攻破,是更广泛攻击趋势的一部分。就在三周前,CrossCurve 在另一场跨链桥攻击中 损失 了 300 万美元;根据现有安全追踪数据,2026 年 1 月全行业加密货币被盗总额接近 4 亿美元。
与智能合约漏洞相比,私钥泄露正逐渐成为攻击者更偏好的手段。这类攻击绕过了已审计的合约代码,直接针对项目或机构的运营安全防线。
延伸阅读: Ripple CEO Puts 90% Odds On Crypto's Most Consequential U.S. Bill Passing By April