Криптопроект IoTeX зазнав хакерської атаки. Зловмисник отримав доступ до смарт-контрактів TokenSafe та MinterPool через компрометацію приватного ключа, повідомили фахівці компанії PeckShield.
Спочатку хакер вивів із сховища криптоактиви приблизно на $4,3 млн: USDC, USDT, IOTX, PAYG, WBTC та BUSD. Кошти було вилучено безпосередньо, а не через уразливість смарт-контракту, уточнив ончейн-аналітик під ніком Specter.
Загальні збитки могли досягти $8,8 млн, хоча представники IoTeX оскаржують ці цифри.
Хакер оперативно замаскував сліди крадіжки. Він обміняв виведені активи на ефір через децентралізовані біржі, включаючи Uniswap, а потім перевів близько 45 ETH до мережі Біткоїна через кроссчейн-міст. Для переміщення засобів між мережами зловмисник використовував THORChain.
Після цього невідомий скористався скомпрометованими контрактами для випуску близько 111 млн. токенів CIOTX (на $4 млн.), які використовуються IoTeX для забезпечення ліквідності в протоколі DePIN. Завдяки CIOTX додатково було виведено 9,3 млн. токенів CCS на суму близько $4,5 млн.
Платформа IoTeX підтвердила інцидент. Співзасновник та генеральний директор Рауллен Чай (Raullen Chai) повідомив, що централізовані біржі співпрацюють із проектом для відстеження та заморожування коштів. Наразі блокчейн IoTeX тимчасово відключено. Початкова оцінка збитків самою платформою становить близько $2 млн. Чай стверджує, що токени CCS і деякі інші давно застаріли і не мають цінності, а CIOTX заморожений і команда працює над тим, щоб хакер не міг перемістити активи.
Відразу після повідомлень про злом, у суботу, 21 лютого, токен IOTX торгувався близько $0,0049: зниження склало 9%. У неділю ціна IOTX впала ще на 5,3% до $0,0047.
Specter виявив зв'язок гаманця зломщика IoTeX з атакою на необанк Infini у лютому 2025 року – збитки від атаки склали $49 млн. Команда Infini звинуватила колишнього розробника на ім'я Чень Шаньсюань (Chen Shanxuan) у використанні ключів доступу та крадіжки активів.
Днями децентралізований криптокредитний протокол Moonwell зазнав злому — з нього було виведено $1,78 млн через помилку, допущену штучним інтелектом.