DeFi

02月21日，周六。 全球大部分地区还在睡梦中时，攻击者悄无声息地拿到了IoTeX ioTube跨链桥验证合约的所有者密钥——这把钥匙能打开金库里的一切。 没有零日漏洞。没有精巧的数学攻击。只是一把钥匙换了手，然后四步执行，4,400万美元的真实资产从TokenSafe被抽走，8.21亿枚毫无资产支撑的CIOTX代币被凭空铸造。 这不是一次"黑客攻击"。这是一次权限的全面接管。 背景铺垫 ioTube是IoTeX生态的核心跨链桥。 它的运作逻辑很直接：用户将IOTX锁在以太坊上的智能合约里，ioTube在IoTeX主网铸造等量的包装代币ioIOTX；反向操作则销毁包装代币，释放主网资产。这是典型的双向锚定（two-way peg）系统，扮演着以太坊与IoTeX之间的"边境海关"角色。 ioTube持有大量跨链资产——USDC、USDT、WBTC、WETH、IOTX、PAXG、DAI、BUSD、UNI——这些资产被锁在TokenSafe金库中，等待用户通过ioTube完成跨链操作。 关键问题：谁持有这座金库的钥匙？ ioTube的验证合约使用单一所有者密钥（owner key）管理权限。这把钥匙不只是"签名验证"——它是合约的最高管理员权限，可以单方面转移金库中任意资产，可以升级合约逻辑，可以铸造新代币。 这把钥匙由ioTube团队保管。 2026年2月21日，这把钥匙易手。 事件发生 以下是根据Rekt News、链上分析师Specter、PeckShield、IoTeX官方声明以及The Block报道交叉验证的事件时间线： 第一阶段：链上预警（02月21日，UTC时间） Specter是第一个在链上发现异常的人。他在社交媒体上写道： “IoTeX的私钥可能已泄露，TokenSafe已被抽干，总损失约430万美元。USDC、USDT、IOTX、WBTC、BUSD已被抽走。资产已被换入ETH，其中45 ETH已通过跨链进入比特币。” （PeckShield来源：Specter推文，UTC时间） 九十分钟后，PeckShield将损失数字更新至800万美元（来源：PeckShieldAlert）。 第二阶段：资产转移（同一日内） 攻击者分批将真实资产从TokenSafe转出： 代币 数量 约值 USDC — — USDT — — WBTC — — WETH — — IOTX — — PAXG — — DAI — — BUSD — — UNI — — 合计 $4,400,000 （信息来源：Rekt News - IoTeX Rekt，2026年2月25日发布） 第三阶段：恶意铸造 在抽走真实资产的同时，攻击者利用拿到的owner key，在以太坊上发起了10笔铸造交易，总计凭空铸造了： 8.21亿枚CIOTX（约值$4.09M） 930万枚CCS代币（已废弃代币，无市场价值，来源：IoTeX联合创始人Raullen Chai） （信息来源：Defimon Alerts，链上Mint交易记录） ...