Сначала хакер вывел из хранилища криптоактивы примерно на $4,3 млн: USDC, USDT, IOTX, PAYG, WBTC и BUSD. Средства были изъяты напрямую, а не через уязвимость смарт‑контракта, уточнил ончейн‑аналитик под ником Specter.
Общий ущерб мог достичь $8,8 млн, хотя представители IoTeX оспаривают эти цифры.
Хакер оперативно замаскировал следы кражи. Он обменял выведенные активы на эфир через децентрализованные биржи, включая Uniswap, а затем перевел около 45 ETH в сеть Биткоина через кроссчейн‑мост. Для перемещения средств между сетями злоумышленник использовал THORChain.
После этого неизвестный воспользовался скомпрометированными контрактами для выпуска около 111 млн токенов CIOTX (на $4 млн), которые используются IoTeX для обеспечения ликвидности в протоколе DePIN. Благодаря CIOTX дополнительно было выведено 9,3 млн токенов CCS на сумму около $4,5 млн.
Платформа IoTeX подтвердила инцидент. Сооснователь и генеральный директор Рауллен Чай (Raullen Chai) сообщил, что централизованные биржи сотрудничают с проектом для отслеживания и заморозки средств. Сейчас блокчейн IoTeX временно отключен. Первоначальная оценка ущерба самой платформой составляет около $2 млн. Чай утверждает, что токены CCS и некоторые другие давно устарели и не имеют ценности, а CIOTX заморожен и команда работает над тем, чтобы хакер не смог переместить активы.
Сразу после сообщений о взломе, в субботу, 21 февраля, токен IOTX торговался около $0,0049: снижение составило 9%. В воскресенье цена IOTX упала еще на 5,3%, до $0,0047.
Specter обнаружил связь кошелька взломщика IoTeX с атакой на необанк Infini в феврале 2025 года — ущерб от атаки составил $49 млн. Команда Infini обвинила бывшего разработчика по имени Чэнь Шаньсюань (Chen Shanxuan) в использовании ключей доступа и краже активов.
На днях децентрализованный криптокредитный протокол Moonwell подвергся взлому — из него было выведено $1,78 млн из‑за ошибки, допущенной искусственным интеллектом.