Эксплоит в IoTeX привел к потере около $2 млн из контрактов моста

Инфраструктура кросс‑чейн‑моста проекта крипто‑ИИ IoTeX была скомпрометирована в субботу: из‑за утечки приватного ключа злоумышленник получил несанкционированный доступ к смарт‑контрактам TokenSafe и MinterPool проекта. Об этом сообщили PeckShield и аналитик блокчейна Specter. По независимым оценкам, общие потери могли достичь $8,8 млн, хотя IoTeX оспаривает эти цифры. Specter одним из первых сообщил о происшествии, написав в X в 4:20 по EST, что приватный ключ IoTeX, по всей видимости, был скомпрометирован, а из хранилища токенов выведено около $4,3 млн в разных активах. Среди выведенных активов были USDC, USDT, IOTX, PAYG, WBTC и BUSD — все они были сняты напрямую из хранилища, а не через уязвимость смарт‑контракта. Злоумышленник быстро принял меры, чтобы запутать следы украденных средств: обменял похищенные активы на эфир через децентрализованные биржи, включая Uniswap, а затем перевел около 45 ETH в сеть биткоина. PeckShield подтвердил эксплоит и отметил, что злоумышленник использовал THORChain для перемещения средств между сетями — такой способ отмывания средств встречался и ранее, в том числе при взломе кошелька в 2023 году, который отслеживал исследователь блокчейна ZachXBT. По данным Specter, злоумышленник также воспользовался скомпрометированными контрактами, чтобы выпустить в обращение около 111 млн токенов CIOTX стоимостью примерно $4 млн. CIOTX — это кросс‑чейн‑стандарт токенов IoTeX, созданный для обеспечения ликвидности в нескольких сетях в рамках протокола DePIN. Позже Specter обновил оценку, добавив еще 9,3 млн токенов CCS на сумму около $4,5 млн. IoTeX подтвердил инцидент в посте в X примерно через три часа после первоначального сообщения Specter, заявив, что команда «полностью вовлечена, работает круглосуточно, чтобы оценить ситуацию и локализовать угрозу». Сооснователь и генеральный директор Рауллен Чай поддержал это заявление, сообщив, что централизованные биржи сотрудничают в отслеживании и заморозке средств и что ситуация «под контролем». Блокчейн IoTeX сейчас недоступен: последний раз блоки обрабатывались около 10:00 по EST. «Сеть IoTeX будет восстановлена ориентировочно через 24–48 часов, как и депозиты на биржах, после того как адреса хакеров будут заморожены, — написал Чай. — Все средства в безопасности в сети IoTeX!» «Первоначальные оценки показывают, что потенциальные потери значительно ниже циркулирующих слухов. Мы продолжим тесно сотрудничать с нашими партнерами по безопасности, чтобы провести расследование, по возможности вернуть средства и прозрачно предоставить дальнейшие обновления», — добавил он. Через некоторое время Чай сообщил, что меры по возврату средств уже принимаются. «Мы все еще собираем данные, но на данный момент сумма составит около $2 млн, — написал Чай. — Мы немедленно уведомили все биржи о заморозке адреса хакера — он не сможет даже внести токен на депозит». Чай также отметил, что выпуск токенов хакером не имеет большого значения: «CCS и многие другие токены давно устарели и не имеют ценности. CIOTX в значительной степени заморожен, и мы его обновляем, так что хакер не сможет переместить активы». IOTX торговался около $0,0049 утром в субботу, снизившись примерно на 9 % за 24 часа, при этом суточный объем торгов вырос более чем на 500 %, согласно странице цен IoTeX от The Block. В последующем посте Specter указал на след, связывающий кошелек злоумышленника из IoTeX со взломом стабилкоин‑необанка Infini на $49 млн в феврале 2025 года — одним из крупнейших взломов прошлого года. Команда Infini обвинила бывшего контрактного разработчика, известного в блокчейне как shaneson.eth (@k63jpx), в сохранении административных прав и опустошении хранилища платформы. «У нас есть множество доказательств, указывающих на то, что это спланированная атака, которая могла готовиться от шести до восемнадцати месяцев», — сообщил Чай, хотя неясно, относится ли это к связи со взломом Infini. Инцидент усугубляет проблемы с безопасностью кросс‑чейн‑мостов. Ранее The Block сообщал о взломе блокчейна Flow в декабре, когда аналогичная утечка приватного ключа позволила злоумышленнику выпустить токены и вывести около $3,9 млн до того, как сеть предприняла спорную попытку отката. Утечки приватных ключей составили 88 % украденных средств в первом квартале 2025 года, и эта угроза остается актуальной в 2026 году. Объем криптокраж в 2025 году превысил $3,4 млрд, по данным Chainalysis. IoTeX, основанный в 2017 году, позиционирует себя как блокчейн‑платформа для реального ИИ и децентрализованных сетей физической инфраструктуры (DePIN). У проекта есть партнерства с Google, Samsung и ARM, а в конце 2024 года он интегрировался с AggLayer от Polygon.