2 月 21 日,因私钥被攻破,攻击者获得了对 IoTeX 资金金库的未授权访问权限,在资金被兑换为以太坊并通过 THORChain 路由到 Bitcoin (BTC) 之前,已转走价值约 800 万美元或更多的资产。
IoTeX 团队确认了此次安全事件,但对市场上流传的损失数字提出异议,称实际损失低于报道数据。
IoTeX 原生代币 IOTX 在消息公布后下跌约 9–10%,其交易量在 24 小时内飙升逾 500%。
事件经过
区块链安全公司 PeckShield 在 X 上确认了此次利用事件,称黑客通过被攻破的私钥完全控制了资金金库,并提走了包括 USDC、USDT、IOTX、WBTC、PAYG 和 BUSD 在内的多种资产。
随后,攻击者将盗取的代币兑换为 ETH,并通过 THORChain 将约 45 枚 ETH 跨链至比特币地址。THORChain 是一个跨链路由协议,没有集中式的冻结机制。
除了最初的资金被转出外,据称攻击者还利用同一被攻破的权限增发了 1.11 亿枚 CIOTX 代币,使得整体估算损失通过各类途径累积至约 880 万至 900 万美元。链上分析师已公开识别出三个与攻击者相关的钱包地址。
IoTeX 的应对
IoTeX 于 2 月 21 日世界标准时间约上午 10:30 公开承认了这起安全事件。
团队表示,已与主要加密货币交易所及安全合作伙伴协调,尽可能追踪并冻结黑客资产,并称局势“在掌控之中”。
项目方未披露最终确认的损失数字,仅表示初步估算“远低于市场流传的传闻”。
延伸阅读: Italian Tax Police Crack €500K Crypto Evasion Ring - Blockchain Was The Witness
影响与意义
攻击者使用 THORChain 使得资金追缴更加复杂。THORChain 通过去托管的方式处理跨链兑换,无法被中心化机构冻结;一旦资金通过该路径流入比特币地址,链上可追踪性会显著下降。
IoTeX 遭黑事件属于更广泛趋势的一部分。就在三周前,CrossCurve 在另一宗跨链桥攻击中损失了 300 万美元;据公开的安全追踪数据,2026 年 1 月全行业加密货币被盗总额接近 4 亿美元。
与智能合约漏洞相比,私钥泄露正日益成为攻击者的首选路径:它绕开了已审计的代码,直接瞄准项目的运营安全和密钥管理。
延伸阅读: Ripple CEO Puts 90% Odds On Crypto's Most Consequential U.S. Bill Passing By April