Vì vụ rò rỉ khóa cá nhân xảy ra vào ngày 21 tháng 2, kẻ tấn công đã truy cập trái phép vào ví token của IoTeX và đánh cắp tài sản ước tính hơn 8 triệu đô la, sau đó chuyển đổi chúng thành Ethereum và định tuyến qua THORChain để lấy Bitcoin (BTC).
Nhóm IoTeX đã thừa nhận sự cố vi phạm này, nhưng đã đặt ra nghi ngờ về quy mô thiệt hại được ước tính đang lan truyền trên thị trường, cho rằng khoản lỗ thực tế ít hơn so với con số đã báo cáo.
Token gốc của IoTeX, IOTX, đã giảm khoảng 9–10% kể từ khi tin tức này được công bố, trong khi khối lượng giao dịch trong 24 giờ đã tăng hơn 500%.
Diễn biến vụ việc
Công ty bảo mật blockchain PeckShield đã xác nhận vụ khai thác này thông qua X, với việc hacker đã thu được quyền kiểm soát hoàn toàn đối với token Safe thông qua khóa cá nhân bị rò rỉ, và đã rút nhiều tài sản như USDC, USDT, IOTX, WBTC, PAYG, BUSD.
Sau đó, kẻ tấn công đã hoán đổi các token bị đánh cắp sang ETH, và đã cầu nối khoảng 45 ETH thông qua THORChain đến địa chỉ Bitcoin. THORChain là một giao thức định tuyến cross-chain không có cơ chế đóng băng tập trung.
Ngoài việc rò rỉ ban đầu, kẻ tấn công được cho là đã lợi dụng cùng quyền truy cập bị rò rỉ để phát hành thêm 111 triệu token CIOTX, dẫn đến ước tính tổng thiệt hại khoảng 8,8 triệu đến 9 triệu đô la. Các nhà phân tích on-chain đã công khai xác định ba địa chỉ ví của kẻ tấn công.
Phản ứng của IoTeX
IoTeX đã công khai thừa nhận vụ xâm phạm vào khoảng 10h30 sáng UTC ngày 21 tháng 2.
Nhóm đã phối hợp với các sàn giao dịch tiền điện tử lớn và các đối tác bảo mật để theo dõi và đóng băng tài sản của kẻ tấn công trong khả năng có thể, và đã mô tả tình huống là “đang được kiểm soát.”
Bên dự án không công bố số tiền tổn thất cụ thể và chỉ đề cập rằng ước tính nội bộ ban đầu “thấp hơn nhiều so với những tin đồn lan truyền trên thị trường.”
Đọc thêm: Cảnh sát thuế Ý phá vỡ đường dây trốn thuế tiền điện tử trị giá 500.000 euro - Blockchain là nhân chứng.
Tại sao điều này quan trọng
THORChain mà kẻ tấn công đã sử dụng xử lý hoán đổi cross-chain mà không cần giám sát, với cấu trúc mà cơ quan trung ương không thể đóng băng giao dịch, làm phức tạp khả năng thu hồi tài sản. Khi tiền di chuyển đến địa chỉ Bitcoin qua con đường này, khả năng theo dõi on-chain sẽ thu hẹp đáng kể.
Vụ xâm phạm IoTeX là một phần của một mô hình lớn hơn. CrossCurve đã mất 3 triệu đô la do một vụ khai thác cầu khác chỉ cách đây 3 tuần, và theo dữ liệu theo dõi bảo mật có sẵn, tổng thiệt hại do trộm cắp tiền điện tử trong toàn ngành trong tháng 1 năm 2026 gần đạt 400 triệu đô la.
Việc rò rỉ khóa cá nhân ngày càng trở thành vector tấn công được ưa chuộng hơn so với lỗi hợp đồng thông minh, và điều này nhằm vào bảo mật vận hành thay vì mã đã hoàn thành kiểm toán.
Đọc thêm: Giám đốc điều hành Ripple đặt 90% xác suất cho dự luật quan trọng nhất của tiền điện tử ở Mỹ được thông qua vào tháng 4.