02月21日,周六。
全球大部分地区还在睡梦中时,攻击者悄无声息地拿到了IoTeX ioTube跨链桥验证合约的所有者密钥——这把钥匙能打开金库里的一切。
没有零日漏洞。没有精巧的数学攻击。只是一把钥匙换了手,然后四步执行,4,400万美元的真实资产从TokenSafe被抽走,8.21亿枚毫无资产支撑的CIOTX代币被凭空铸造。
这不是一次"黑客攻击"。这是一次权限的全面接管。
背景铺垫
ioTube是IoTeX生态的核心跨链桥。
它的运作逻辑很直接:用户将IOTX锁在以太坊上的智能合约里,ioTube在IoTeX主网铸造等量的包装代币ioIOTX;反向操作则销毁包装代币,释放主网资产。这是典型的双向锚定(two-way peg)系统,扮演着以太坊与IoTeX之间的"边境海关"角色。
ioTube持有大量跨链资产——USDC、USDT、WBTC、WETH、IOTX、PAXG、DAI、BUSD、UNI——这些资产被锁在TokenSafe金库中,等待用户通过ioTube完成跨链操作。
关键问题:谁持有这座金库的钥匙?
ioTube的验证合约使用单一所有者密钥(owner key)管理权限。这把钥匙不只是"签名验证"——它是合约的最高管理员权限,可以单方面转移金库中任意资产,可以升级合约逻辑,可以铸造新代币。
这把钥匙由ioTube团队保管。
2026年2月21日,这把钥匙易手。
事件发生
以下是根据Rekt News、链上分析师Specter、PeckShield、IoTeX官方声明以及The Block报道交叉验证的事件时间线:
第一阶段:链上预警(02月21日,UTC时间)
Specter是第一个在链上发现异常的人。他在社交媒体上写道:
“IoTeX的私钥可能已泄露,TokenSafe已被抽干,总损失约430万美元。USDC、USDT、IOTX、WBTC、BUSD已被抽走。资产已被换入ETH,其中45 ETH已通过跨链进入比特币。”
(PeckShield来源:Specter推文,UTC时间)
九十分钟后,PeckShield将损失数字更新至800万美元(来源:PeckShieldAlert)。
第二阶段:资产转移(同一日内)
攻击者分批将真实资产从TokenSafe转出:
| 代币 | 数量 | 约值 |
|---|---|---|
| USDC | — | — |
| USDT | — | — |
| WBTC | — | — |
| WETH | — | — |
| IOTX | — | — |
| PAXG | — | — |
| DAI | — | — |
| BUSD | — | — |
| UNI | — | — |
| 合计 | $4,400,000 |
(信息来源:Rekt News - IoTeX Rekt,2026年2月25日发布)
第三阶段:恶意铸造
在抽走真实资产的同时,攻击者利用拿到的owner key,在以太坊上发起了10笔铸造交易,总计凭空铸造了:
- 8.21亿枚CIOTX(约值$4.09M)
- 930万枚CCS代币(已废弃代币,无市场价值,来源:IoTeX联合创始人Raullen Chai)
(信息来源:Defimon Alerts,链上Mint交易记录)
这里有一个数字争议:IoTeX官方后来引用的是4.1亿枚CIOTX,而非8.21亿枚。但以太坊链上有10笔确认的铸造交易,总量约8.21亿枚。IoTeX至今没有解释这个差异(来源:Rekt News)。
第四阶段:洗钱
攻击者通过THORChain将资产换为比特币。最终数字:
66.77 BTC(~$4.29M)——截至2月23日,仍坐在四个全新创建的比特币钱包里,纹丝未动,公开可见,任何人只要有浏览器就能查。
(信息来源:Rekt News,链上比特币钱包追踪)
事件数字的三个版本
当IoTeX联合创始人Raullen Chai告诉The Block"损失约200万美元"时,市场上已经流传着三个不同的数字,它们都是对的——只是计算方式不同:
- Specter: $4.3M(链上可见的直接损失)
- PeckShield: $8M(含恶意铸造代币的当时估值)
- IoTeX: $2M(声称86%的铸造代币已在链上冻结,无法流动)
IoTeX的"净损失200万"逻辑是:8.21亿CIOTX中86%已被冻结在链上无流动性,实际能造成伤害的是剩余的14%加上440万真实资产。
但真正不需要信任任何人的数字是:66.77 BTC(~$4.29M)公开躺在比特币链上。(来源:Rekt News)
市场与生态反应
代币价格
IOTX在消息传出后暴跌22%——从$0.0054跌至$0.0042下方。截至今24日反弹至$0.00467,但仍较2021年11月创下的历史高点$0.255下跌约98%。
(来源:CoinGecko历史价格数据)
交易所反应
韩国Upbit将IOTX列入交易警报名单,并暂停了充值。
IoTeX应对
- 向链上委托节点分发紧急补丁,黑名单攻击者地址
- 暂停ioTube跨链桥服务,等待完整独立审计
- 开始与各交易所协调冻结剩余资产
- L1链在补丁覆盖足够节点后自动恢复共识
(来源:IoTeX官方声明,2026年2月)
事件总结
ioTube事件和KelpDAO事件相隔不到两个月,技术手法不同,但讲述的是同一个故事:跨链桥将大量真实资产锁在一个中心化的权限结构里,然后把这个结构包装成"去中心化"向公众发售。
ioTube的问题:
- 单一owner key持有金库最高权限,无多签、无时间锁
- 这把钥匙由团队保管,不是硬件HSM,不是冷钱包,是可能被入侵的软件环境
- 金库权限可以单方面升级合约、转移资产、铸造代币
KelpDAO的问题:
- 单一DVN配置,无备用验证者
- 依赖LayerZero Labs的中心化节点基础设施
- DVN的信任假设基于对LayerZero内部系统的监控,而这套系统本身被污染了
两个案例,一个根本性问题:当你把资产的命运集中在一把钥匙上,然后告诉用户"这是去中心化的"——你给的不是免信任的金融基础设施,你给的是一颗定时炸弹,上面贴着一张写着"安全"的纸条。
我的个人观点
一、ioTube的失败不是去中心化的失败,是"伪去中心化"被揭穿的代价
ioTube没有多签保护吗?不,它有。但它的"多签"和KelpDAO的"1-of-1 DVN"一样,是形式而非实质。
真正的去中心化需要满足以下条件(信息来源:Vitalik Buterin - 多签与治理,2016):
- 密钥持有者必须互不关联,不能是同一个团队
- 升级权限必须有足够长的时间锁(24-72小时),让社区在灾难升级前介入
- 所有关键操作必须公开可审计,且治理权真正分散
ioTube和KelpDAO一条都不满足。所以它们不是"去中心化的失败"——它们是"伪去中心化被揭穿"的失败。
二、“无漏洞利用"是最危险的攻击形态
这一次没有零日漏洞。没有精巧的数学。没有闪电贷。没有预测机攻击。
只有一把钥匙。
这是最可怕的地方:它不要求攻击者有多高的技术造诣。它只要求攻击者拿到钥匙——通过社会工程学、供应链攻击、或者单纯的内部泄露。
ioTube的代码可能是完美的,但持有钥匙的人不是。 这就是为什么密码学界有一句老话:“密钥管理是安全的基础,而不是安全的全部。”
三、数字争议掩盖了真正的问题
IoTeX说损失200万美元,Specter说430万美元,PeckShield说800万美元——这是同一个故事的不同叙事角度,不是相互矛盾的。
真正不需要信任任何人就能验证的数字是:66.77 BTC(~$4.29M)躺在比特币链上。这是公开信息,任何人可以在区块浏览器里查。
当一个项目告诉你"损失没有那么多"的时候,问自己:有没有任何一个数字是任何人都可以直接在链上验证的?如果有,它就是真实损失。如果它只是项目方的一面之词——那个数字才是你该相信的。
四、审计行业该给自己出一份审计报告
2022年3月,Halborn对ioTube进行了智能合约安全审计,给出了"低风险"评级。2026年2月,同样的代码,一把私钥,440万美元没了。
有趣的是:审计报告里写的是"低风险”,但审计的范围从来不包括真正高风险的东西。
审计公司检查的是什么?代码逻辑——重入攻击、整数溢出、签名验证。他们给你一张证书,上面写着"这段代码在技术上是安全的"。但钥匙放在哪里?存钥匙的服务器有没有补丁?团队有没有内部密钥泄露的规程?这些决定你钱安不安全的部分,不在审计范围里,所以也不在报告里。
换句话说:审计告诉你的是"这扇门的锁质量合格",但他们永远不会检查你把钥匙放在门垫下面。他们也不想检查。因为检查了就要写进报告,写进报告就要担责任,担责任就要收费更高,收费更高客户就不买单了。
所以整个行业形成了一个默契:我只审计我审计得了的东西,我审计得了的东西我出具漂亮报告,我出具漂亮报告客户愿意付钱,客户付钱我继续接单。至于你的钥匙放在哪,对不起,不在服务范围内。
这不是某个审计公司的失误。这是整个行业的结构性谎言:他们卖的是信任的外壳,但从不检查壳里面装的是不是定时炸弹。 你花几万甚至几十万美元买的那份"安全审计",本质上是一张空头支票——它证明代码在理想条件下是安全的,但不证明你的资产在实际环境中是安全的。
五、IoTeX管理团队该集体辞职
Raullen Chai在事件后接受The Block采访时说"损失约200万美元",并声称"86%的恶意铸造代币已在链上冻结"。这是他作为联合创始人的公开声明。
我们来验证一下:66.77 BTC(~$4.29M)的真实资产被盗,公开躺在比特币链上,从未被追回。 这是任何人都可以在区块浏览器里查到的数字,他不会不知道。
他知道,但他选择说"200万美元"而不是"440万美元",选择强调"86%已冻结"而不是"66.77 BTC已被洗走"。这是公开的信息操控,是一个联合创始人在用叙事代替事实。
更让人无法接受的是ioTube的安全设计:一枚owner key控制整个金库的全部权限——可以转移资产,可以升级合约,可以铸造代币。 这是任何有基本安全常识的团队都不会犯的错误。加密货币行业里,随便一个中型DeFi项目都知道要用多签、要加时间锁、要把升级权限锁进治理流程。ioTube作为一个成熟项目,2026年了,还在用"一把钥匙管全部"的设计。
这不是技术问题。这是管理团队对用户资产安全的根本性漠视。
如果你是IOTX持有者,或者你在IoTeX生态里还有资产,我只有一个建议:退出。
这不是因为这次攻击——任何系统都可能被攻击,任何系统都可能有漏洞。退出是因为这个团队在攻击之后的回应方式:他们没有透明地面对问题,而是在用选择性数字误导社区;他们的金库设计暴露了他们从未认真对待过用户的资产安全;他们把"去中心化"当营销,把实质性的安全投入当成本来削减。
一个有这样管理文化的团队,下一次攻击来临时,答案不会是不同的密钥管理,而是另一份精心包装的"200万美元损失"声明。
在你等待下一个"200万美元"变成"4400万美元"之前,现在就撤。
参考来源
- Rekt News - IoTeX Rekt(事件时间线、损失数字、攻击手法)
- Specter链上分析推文(第一时间预警)
- PeckShieldAlert链上警报($8M损失更新)
- Defimon Alerts - CIOTX铸造记录(8.21亿枚CIOTX链上数据)
- The Block - IoTeX联合创始人采访($2M净损失声明来源)
- CoinGecko - IOTX历史价格(价格数据)
- IoTeX官方Medium声明(官方回应)
- Vitalik Buterin - 多签与治理(2016)(真正去中心化标准)
- Upbit IOTX警报公告(交易所反应)
作者: Warren Wong 联系方式: [email protected]