Útočník získal neoprávněný přístup k tokenové bezpečnosti IoTeX v důsledku úniku osobního klíče, k němuž došlo 21. února, a ukradl aktiva odhadovaná na více než 8 milionů dolarů, která pak převedl na Ethereum a směroval je na Bitcoin (BTC) přes THORChain.
Tým IoTeX uznal, že došlo k porušení, ale zpochybnil odhady rozsahu škody, která se rozšířila na trhu, a uvedl, že skutečná ztráta je nižší než hlášené číslo.
Nativní token IoTeX, IOTX, po zveřejnění této zprávy klesl o přibližně 9–10 % a objem obchodování během 24 hodin vzrostl o více než 500 %.
Průběh incidentu
Bezpečnostní společnost PeckShield v oblasti blockchainu potvrdila tuto explozi prostřednictvím X, přičemž hacker získal plnou kontrolu nad tokenovým trezorem prostřednictvím uniklého soukromého klíče a vybral řadu aktiv, včetně USDC, USDT, IOTX, WBTC, PAYG, BUSD.
Útočník poté vyměnil ukradené tokeny za ETH a přemostil přibližně 45 ETH na bitcoinovou adresu prostřednictvím THORChain. THORChain je protokol pro směrování cross-chain bez centralizovaného zmrazovacího mechanismu.
Kromě počátečního úniku se předpokládá, že útočník zneužil stejný uniklý přístup k vydání dalších 111 000 000 CIOTX tokenů, což vedlo k rozšíření celkového odhadu škod na přibližně 8,8 až 9 milionů dolarů. On-chain analytici veřejně identifikovali tři adresy peněženek útočníka.
Reakce IoTeX
IoTeX veřejně přiznal porušení dne 21. února v 10:30 UTC.
Tým uvedl, že spolupracuje s hlavními kryptoměnovými burzami a bezpečnostními partnery, aby sledoval a zmrazil aktiva útočníka v maximálním možném rozsahu a situaci popsal jako "pod kontrolou".
Projekt nezveřejnil konkrétní potvrzenou ztrátu a uvedl pouze, že počáteční interní odhad je "značně nižší než spekulace na trhu".
Přečtěte si také: Italská daňová policie rozbila krypto únik ve výši 500 000 EUR - Blockchain byl svědkem.
Proč je to důležité
THORChain, který útočník použil, zpracovává cross-chain swap bez custodie a struktura je taková, že centrální subjekt nemůže zmrazit transakce, což komplikuje možnost vrácení prostředků. Jakmile peníze přejdou na bitcoinovou adresu touto cestou, rozsah on-chain sledování se výrazně zúží.
Porušení IoTeX je součástí většího vzoru. CrossCurve utrpěl před pouhými 3 týdny ztrátu 3 miliony dolarů kvůli samostatné explozi mostu a podle dostupných bezpečnostních sledovacích dat se celkové ztráty v kryptoměnovém průmyslu za měsíc leden 2026 blížily 400 milionům dolarů.
Únik soukromého klíče, nikoli chyba smart kontraktu, se stává stále preferovanějším útokovým vektorem, což je způsob, jak obejít cílení na operační bezpečnost, nikoli na samotný auditovaný kód.
Přečtěte si také: CEO Ripple dává 90% šanci, že nejdůležitější americký zákon o kryptoměnách projde do dubna.