A causa della fuga di chiavi private avvenuta il 21 febbraio, l'attaccante ha avuto accesso non autorizzato al portafoglio token di IoTeX, rubando beni stimati in oltre 8 milioni di dollari, per poi convertirli in Ethereum e instradarli tramite THORChain in Bitcoin (BTC).
Il team di IoTeX ha riconosciuto l'incidente di violazione, ma ha sollevato obiezioni sulle stime dei danni diffuse nel mercato, affermando che le perdite reali sono inferiori ai numeri riportati.
Il token nativo di IoTeX, IOTX, è sceso di circa il 9-10% dopo la diffusione della notizia, e il volume degli scambi è aumentato di oltre il 500% nelle 24 ore.
Dettagli dell'incidente
La società di sicurezza blockchain PeckShield ha confermato l'exploit tramite X, spiegando che l'hacker ha ottenuto il pieno controllo sul token safe attraverso la chiave privata trapelata, prelevando numerosi asset tra cui USDC, USDT, IOTX, WBTC, PAYG e BUSD.
Successivamente, l'aggressore ha scambiato i token rubati in ETH e ha bridgeato circa 45 ETH a un indirizzo Bitcoin tramite THORChain. THORChain è un protocollo di routing cross-chain senza meccanismi di congelamento centralizzati.
Oltre alla fuga iniziale, si stima che l'aggressore abbia abusato della stessa chiave di accesso trapelata per emettere ulteriori 111 milioni di token CIOTX, portando la stima totale dei danni a circa 8,8-9 milioni di dollari. Gli analisti on-chain hanno identificato pubblicamente tre indirizzi del portafoglio dell'aggressore.
Risposta di IoTeX
IoTeX ha riconosciuto pubblicamente l'intrusione intorno alle 10:30 AM UTC del 21 febbraio.
Il team ha dichiarato di lavorare con principali scambi di criptovalute e partner di sicurezza per tracciare e congelare gli asset dell'aggressore nella misura del possibile, sottolineando che la situazione è "sotto controllo".
Il progetto non ha rivelato l'ammontare esatto delle perdite confermate, limitandosi a menzionare che la stima interna iniziale è "notevolmente più bassa rispetto alle voci diffuse nel mercato".
Leggi anche: La Polizia Fiscale Italiana smantella un anello di evasione fiscale in criptovalute da €500K - La Blockchain è stata testimone
Perché è importante
THORChain, utilizzato dagli aggressori, gestisce swap cross-chain senza custodia, rendendo complessa la possibilità di recupero dei fondi poiché non c'è un'autorità centrale che può congelare le transazioni. Se i fondi vengono trasferiti a un indirizzo Bitcoin attraverso questo percorso, la portata del tracciamento on-chain si riduce notevolmente.
La violazione di IoTeX è parte di un pattern più grande. CrossCurve ha perso 3 milioni di dollari solo 3 settimane fa a causa di un diverso exploit di bridge, e secondo i dati di tracciamento della sicurezza disponibili, il furto di criptovalute nell'industria ha quasi raggiunto i 400 milioni di dollari nel mese di gennaio 2026.
Non è un bug del contratto smart, ma la fuga della chiave privata sta diventando un vettore d'attacco sempre più preferito, bypassando direttamente la sicurezza operativa piuttosto che il codice stesso che ha passato l'audit.
Leggi anche: Il CEO di Ripple dà il 90% di probabilità che la legge più significativa sulle criptovalute negli Stati Uniti venga approvata entro aprile