Центр вознаграждений 
21 февраля 2026 года из-за компрометации единственного приватного ключа злоумышленник получил полный контроль над кроссчейн-мостом ioTube от IoTeX на Ethereum. За несколько часов с контракта TokenSafe было выведено около $4,3 млн в токенах, включая USDC, USDT, IOTX, WBTC и BUSD. Затем злоумышленник сгенерировал ещё 111 млн CIOTX (примерно $4 млн) и 9,3 млн CCS ($4,5 млн), что, по оценкам PeckShield, увеличило общий ущерб до более $8 млн.
По данным IoTeX, прямые потери составляют $4,3 млн. Украденные средства были обменяны на ETH через Uniswap и переведены в сеть Bitcoin с помощью THORChain до блокировки. После взлома IOTX подешевел на 22% — с $0,0054 до менее $0,0042, затем частично восстановился.
Что произошло с мостом ioTube от IoTeX?
ioTube — собственная кроссчейн-инфраструктура IoTeX для перевода токенов между Layer 1 и сетями Ethereum, Binance Smart Chain и Base. Хакер не эксплуатировал баг в смарт-контракте — был скомпрометирован приватный ключ валидатора на стороне Ethereum, что дало злоумышленнику административный контроль над контрактами MintPool (создание обёрнутых токенов) и TokenSafe (хранение обеспечивающих активов).
С этим ключом злоумышленник мог выводить активы из хранилища и эмитировать новые обёрнутые токены. Атака произошла между 7 и 9 утра UTC 21 февраля. Ончейн-аналитик Specter выявил подозрительные транзакции к 4:20 EST за три часа до публичного признания инцидента.
Валидаторы и сообщество приостановили работу моста, чтобы остановить дальнейшие потери. IoTeX затем полностью остановил свой Layer 1, чтобы заморозить адреса злоумышленника. Ожидалось, что сеть возобновит работу через 24–48 часов после обновления и внесения злонамеренных адресов в чёрный список.
Соучредитель и CEO IoTeX Рауллен Чай подтвердил, что инцидент коснулся только инфраструктуры моста на стороне Ethereum. Сеть IoTeX уровня 1, механизм консенсуса Roll-DPoS и смарт-контракты не пострадали. Мосты с BSC, Base и другими сетями остались рабочими.
Как злоумышленник отмыл средства
Схема отмывания была стандартной для 2025–2026 годов: украденные токены обменялись на ETH через Uniswap, консолидировались в нескольких кошельках, а затем были переведены в сеть Bitcoin через THORChain, децентрализованный кроссчейн-протокол без KYC.
IoTeX выявил четыре биткойн-кошелька с примерно 66,6 BTC (примерно $4,3 млн на момент публикации). CoinDesk подтвердил балансы. По словам Ника Мотца, CEO ORQO Group, после перевода средств через THORChain их возврат крайне затруднён, так как протокол не предусматривает централизованных механизмов блокировки.
Это не новый приём: THORChain стал популярным маршрутом для отмывки из-за возможности перемещения между UTXO- и account-based цепями без посредников. Такой же паттерн отмечался при взломе кошелька в 2023 году.
Более того, аналитики связали кошелёк злоумышленника с взломом платформы Infini на $49 млн в феврале 2025 года, когда бывший разработчик, сохранивший админ-доступ, вывел средства с задержкой. Оба случая характеризуются длительной подготовкой, инсайдерским доступом и отмывкой через THORChain. Рауллен Чай сообщил The Block, что атака на IoTeX могла планироваться 6–18 месяцев.
Предложение 10%: как проходят переговоры в криптоиндустрии
Через два дня после взлома IoTeX отправил злоумышленнику ончейн-сообщение с предложением выплатить 10% от суммы (около $440 000) при возврате оставшихся средств в течение 48 часов. Также было обещано не предпринимать юридические действия, если условие будет выполнено.
Такая тактика стала стандартом в DeFi: проект находит адреса хакера, делает публичное предложение в ончейн-транзакции и устанавливает дедлайн. Если средства возвращаются — хакер получает вознаграждение, если нет — проект подключает правоохранительные органы и биржи для блокировки средств.
История подобных переговоров неоднозначна:
| Взлом | Украдено | Бай-аут | Итог |
|---|---|---|---|
| Euler Finance (март 2023) | $197 млн | 10% + $1 млн за информацию | Полный возврат после переговоров |
| Poly Network (авг. 2021) | $612 млн | Звание "Mr. White Hat" | Полный возврат (мотив — любопытство) |
| Sentiment Protocol (апр. 2023) | $1 млн | $95 тыс. (10%) | 90% возвращено за 2 дня |
| KyberSwap (нояб. 2023) | $46 млн | 10% ($4,6 млн) | Хакер потребовал полный контроль |
| IoTeX (фев. 2026) | $4,3 млн | 10% ($440 тыс.) | На момент 24 февраля — в процессе |
В случае Euler Finance протокол сначала предложил 10%, затем увеличил вознаграждение за информацию до $1 млн. После давления и осознания трудностей с отмывкой хакер вернул средства с извинениями. Пример KyberSwap показывает возможный провал: злоумышленник выдвинул встречное требование полного контроля над протоколом, чего не произошло.
Почему взломы через приватные ключи повторяются
Существенный урок случая IoTeX: смарт-контракты работали штатно, аудит не выявил уязвимостей. Причина — человеческий фактор.
На приватные ключи приходилось 88% всех украденных средств в I квартале 2025 года, тенденция сохраняется и в 2026. Индустрия тратит миллиарды на аудит, но уязвимость зачастую в управлении ключами.
История мостовых взломов повторяется:
| Мост | Год | Потери | Причина |
|---|---|---|---|
| Ronin (Axie Infinity) | 2022 | $624 млн | 5 из 9 приватных ключей скомпрометированы |
| Wormhole | 2022 | $326 млн | Ошибка проверки подписи (баг в коде) |
| BNB Bridge | 2022 | $568 млн | Баг proof verifier (баг в коде) |
| Nomad | 2022 | $190 млн | Эксплойт trusted root (баг в коде) |
| Flow blockchain | дек. 2025 | $3,9 млн | Компрометация приватного ключа |
| CrossCurve | фев. 2026 | $3 млн | Недостаточная валидация |
| IoTeX (ioTube) | фев. 2026 | $4,3+ млн | Ключ валидатора скомпрометирован |
История с Ronin — пример последствий: из 9 валидаторов 4 контролировались командой, доступ не был своевременно закрыт, что позволило злоумышленнику (группе Lazarus) провести атаку. Реакция IoTeX была быстрее — они обнаружили взлом за несколько часов, но когда ключ уже скомпрометирован, скорость обнаружения не всегда помогает.
По мнению Митчелла Амадора из Immunefi, в 2026 году основной целью атак становятся не баги в коде, а человеческий фактор.
Общая оценка кроссчейн-рисков
С 2022 года через мосты было потеряно более $2,8 млрд, что делает их самым опасным элементом криптоинфраструктуры по объемам потерь. Только в январе 2026 года общая сумма краж почти достигла $400 млн.
Причина — архитектурная: мосты концентрируют большие средства в немногих контрактах, управляемых малым числом ключей. Это делает их приоритетной целью для опытных злоумышленников.
По анализу за 2025 год, лишь 4,6% украденных средств возвращаются по договорённости, ещё 13% блокируются командой, а 53,6% остаются в неактивных кошельках.
Для устранения рисков внедряются:
- Верификация через "light client" и ZK-доказательства (например, Succinct, Polymer)
- Мультиподписи с ротацией ключей
- HSM для хранения ключей
- Ограничение лимитов на вывод даже для привилегированных адресов
Все эти методы уже реализованы на ряде мостов, однако не все проекты, включая IoTeX, их используют.
Как изменился курс IOTX?
До публикации о взломе токен торговался около $0,0054, после чего снизился до $0,0042 (−22%). На 24 февраля IOTX стоил ~$0,0045 (капитализация — около $43 млн по данным CoinMarketCap).
Объём торгов вырос более чем на 500% за сутки после атаки, превысив $17 млн: часть продавала в панике, часть спекулировала на волатильности. Корейская Upbit и Binance временно приостановили операции с токеном.
Исторический максимум IOTX — $0,26 (ноябрь 2021), текущие значения на 98% ниже. Даже до атаки токен снижался, отражая в целом слабость средних альткоинов. Взлом лишь ускорил тенденцию.
IoTeX пообещал в течение 48 часов опубликовать план компенсаций. Большинство сгенерированных CIOTX и CCS заморожены или находятся в процессе восстановления, что должно ограничить долгосрочное влияние на рынок.
Что это значит для трейдеров
Три вывода из взлома IoTeX:
Экспозиция на мостах — это протокольный риск. Если у вас обёрнутые токены (CIOTX, wETH, wBTC через сторонние мосты), вы зависите не только от базового актива, но и от управления ключами, безопасности валидаторов и процессов самого моста. Взлом может привести к обесцениванию токенов-мостов, даже если исходный актив не затронут. Оценивайте, действительно ли вам необходим мост, или лучше использовать нативные решения.
Следите за дедлайном по бай-ауту. Окно IoTeX в 48 часов — краткосрочный триггер. Если средства вернут, снизится давление на рынок. Если нет — проект может перейти к сотрудничеству с правоохранительными органами и объявить вознаграждение за информацию, как делал Euler. Также важны сроки возобновления сети и план компенсаций.
Взломы приватных ключей — новый тренд. Аудит смарт-контрактов улучшился с 2021 года, ошибки в коде (как у CrossCurve в феврале 2026) случаются реже, чем ошибки в управлении ключами. Перед взаимодействием с мостом проверьте: используются ли мультиподписи, HSM для валидаторов, лимиты на операции. В случае ioTube был только один ключ валидатора для ключевых контрактов на Ethereum, что и стало уязвимостью.
FAQ
Является ли IoTeX мошенничеством после взлома моста?
Нет. IoTeX — легальный проект, основан в 2017 году, сотрудничает с Google, Samsung и ARM, интегрирован с Polygon AggLayer. Взлом затронул инфраструктуру моста, а не сеть Layer 1. Тем не менее, потеря $4,3 млн из-за управляемого ключа вызывает вопросы к практике безопасности команды, особенно учитывая, что атака готовилась заранее.
Вернёт ли хакер средства IoTeX?
Предсказать нельзя. Аналитики связывают кошелёк злоумышленника с эксплойтом Infini ($49 млн, 2025), что говорит о профессионализме. Организованные группы реже идут на переговоры, чем отдельные злоумышленники (как в случае Euler). Перевод средств через THORChain в Bitcoin усложняет возврат.
Каков реальный размер потерь IoTeX?
Зависит от источника: IoTeX заявляет о ~$4,3 млн прямых потерь из TokenSafe; по оценке PeckShield, суммарно ущерб превышает $8 млн, если учитывать сгенерированные CIOTX и CCS. Изначально IoTeX озвучивал $2 млн, затем пересмотрел оценку. Разница связана с тем, что многие сгенерированные токены были заморожены.
Безопасно ли пользоваться кроссчейн-мостами?
Мосты — наиболее рисковая инфраструктура в крипто по объёму потерь (более $2,8 млрд с 2022 г.). При использовании мостов сокращайте сумму и время нахождения средств, выбирайте решения с децентрализованным набором валидаторов или верификацией через ZK-доказательства. Не держите обёрнутые токены в контрактах дольше, чем нужно.
Итоги
Взлом IoTeX — показательный случай, когда проблема безопасности смещается с кода на ключи. Смарт-контракты были рабочими, аудит не помог. Одного приватного ключа, добытого путём долгой подготовки, оказалось достаточно для опустошения хранилища моста.
10%-ное предложение IoTeX соответствует ранее применявшейся практике (Euler, Sentiment), но результат зависит от мотивации злоумышленника: это может быть как организованная группа с инфраструктурой для отмывки, так и человек, который поймёт, что 66 BTC сложнее потратить, чем получить чистое вознаграждение.
Трейдерам важно помнить: мосты концентрируют ценность и привлекают наиболее опытных атакующих, в том числе при поддержке государств. Пока индустрия не перейдёт к моделям с верификацией без доверия (ZK, light clients) и откажется от единоличных ключей валидаторов, любой крупный мост остаётся целью. Вопрос не в «если», а «когда» и как команда отреагирует.
Отказ от ответственности: данный материал предоставлен исключительно в информационных целях и не является инвестиционной рекомендацией. Инвестиции в криптовалюты сопряжены со значительными рисками. Прежде чем принимать решения, проводите собственное исследование.
