DePIN 基礎設施區塊鏈 IoTeX 的跨鏈橋合約遭私鑰入侵,攻擊者抽走 USDC、USDT、IOTX 與 WBTC 等多種資產,官方稱損失約 200 萬美元。
(前情提要:北韓駭客 2025 年盜竊創紀錄:竊取 20.2 億美元加密貨幣,洗錢周期約 45 天)
(背景補充:盜竊12萬BTC》Bitfinex 駭客夫妻已提前出獄:謝謝川普爸爸新年快樂)
根據 DePIN 基礎設施區塊鏈 IoTeX 團隊發布的最新安全事件聲明,官方表示已「控制相關風險」,鏈上運行及充提業務預計會在 24 至 48 小時內恢復。官方數據顯示損失約 200 萬美元,涉及資產包括 USDC、USDT、IOTX 與 WBTC。
🚨 Update on the recent security incident:
Our team has contained the situation and the IoTeX chain is being secured. Current data confirms the exploit impact is around $2M USD (including USDC, USDT, IOTX, and WBTC).
Investigations show this was a sophisticated, long-planned…
— IoTeX (@iotex_io) February 21, 2026
鏈上安全公司 PeckShield 的分析指出,攻擊者透過私鑰入侵取得了 IoTeX 跨鏈橋合約(具體是 TokenSafe 和 MinterPool 兩個智能合約)的完整控制權,直接從金庫中提取資產。
被盜資產不只四種,還包括 BUSD 和 PAYG。PeckShield 的初步估計是 880 萬美元;另一位鏈上分析師 Specter 的計算則為 430 萬美元。
為什麼會有大幅落差?IoTeX 共同創辦人 Raullen Chai 對 The Block 表示,攻擊者利用同一組私鑰鑄造了數百萬枚 CIOTX 和 CCS 代幣,但這些代幣「沒有實際價值」且已被凍結,因此不應計入損失。
鑰匙被偷的攻擊佔了 88% 的被盜金額
根據區塊鏈安全機構的統計,2025 年第一季度被盜資金中有 88% 來自私鑰入侵。全年來看,這類攻擊佔事件總數的 13%,卻造成近 10 億美元的損失,單筆平均金額遠高於智能合約漏洞利用。
原因不難理解:當你突破的是程式碼邏輯,你受限於漏洞本身的利用範圍;當你突破的是私鑰,你就是管理員,你擁有一切權限。
跨鏈橋的結構性弱點:只要有人拿著鑰匙,鑰匙就可能被偷
跨鏈橋是區塊鏈生態系中被攻破次數最多的基礎設施類別之一。從 2022 年的 Ronin Bridge(6.25 億美元)、Wormhole(3.2 億美元),到 2023 年的 Multichain(1.26 億美元),再到近年的多起中小型橋接攻擊,手法不盡相同,但模式驚人地一致:攻擊面幾乎都指向私鑰或驗證者的控制權。
問題的根源不是程式碼品質。大多數橋接合約的邏輯都經過審計。問題在於架構本身:跨鏈橋需要某個實體:一組驗證者、一個多簽錢包、或一組私鑰,來擔保兩條鏈之間的資產對應關係。
這個「擔保人」就是最大的攻擊面。你可以審計合約一百次,但如果管理私鑰的流程出了問題,或者更常見的,如果持有私鑰的設備被入侵,所有審計報告都只是一張昂貴的安慰劑。
2026 年了,跨鏈橋仍然是加密基礎設施中最薄弱的環節。不是因為我們不知道風險在哪裡,而是因為這個風險寫在橋的基因裡:只要設計需要有人拿著鑰匙,鑰匙就永遠可能被偷。
📍相關報導📍
看傻眼》魚池創辦人自曝被竊500枚BTC超淡定:駭客慷慨地留10 BTC給我當生活費
