- Анатомия взлома: Что пошло не так?
- Оценки ущерба: 2 миллиона или почти 9 миллионов долларов?
- Реакция сети и экстренные меры
- Проблема мостов и закрытых ключей: Уязвимость индустрии
- Будущее IoTeX и последствия для сектора DePIN
Сектор децентрализованной физической инфраструктуры (DePIN) и проекты на стыке искусственного интеллекта и блокчейна (Crypto-AI) переживают бурный рост. Однако с ростом популярности и капитализации они все чаще становятся мишенью для злоумышленников. Недавним примером стала атака на блокчейн-проект IoTeX, который подвергся масштабному эксплойту из-за компрометации закрытого (приватного) ключа. В результате инцидента с контрактов моста были выведены активы на миллионы долларов, а сама сеть была вынуждена приостановить работу.
Анатомия взлома: Что пошло не так?
В минувшую субботу инфраструктура кроссчейн-моста IoTeX была скомпрометирована. Согласно данным ведущей аналитической компании PeckShield и независимого ончейн-исследователя под псевдонимом Specter, корневой причиной стал взлом приватного ключа. Эта утечка предоставила хакеру несанкционированный полный контроль над ключевыми смарт-контрактами проекта — `TokenSafe` и `MinterPool`.
В мире децентрализованных финансов (DeFi) и кроссчейн-мостов смарт-контракты типа `TokenSafe` используются для блокировки активов в одной сети перед их чеканкой в другой. Получив доступ к управлению этими контрактами через скомпрометированный ключ, злоумышленник фактически получил ключи от хранилища, что позволило ему беспрепятственно выводить средства пользователей и манипулировать эмиссией токенов.
В 4:20 утра по североамериканскому восточному времени (EST) аналитик Specter одним из первых забил тревогу в социальной сети X, сообщив, что контракты моста IoTeX опустошаются, и злоумышленник выкачивает ликвидность из нескольких пулов активов.
Оценки ущерба: 2 миллиона или почти 9 миллионов долларов?
Масштабы кражи стали предметом горячих споров в криптовалютном сообществе, так как первоначальные независимые оценки сильно разошлись с официальными заявлениями команды IoTeX.
Данные ончейн-аналитиков:
По информации Specter, из безопасного хранилища (TokenSafe) было первоначально выведено около 4,3 миллиона долларов в различных популярных активах. В список украденного вошли стейблкоины USDC, USDT и BUSD, а также обернутый биткоин (WBTC) и нативный токен сети IOTX.
Однако атака не ограничилась простым выводом существующих средств. Используя контроль над контрактом `MinterPool`, злоумышленник осуществил несанкционированную эмиссию (минт) токенов. Хакер отчеканил около 111 миллионов токенов CIOTX (кроссчейн-стандарт IoTeX, созданный для обеспечения мультичейн-ликвидности в протоколах DePIN), стоимость которых оценивалась примерно в 4 миллиона долларов. Позднее Specter обновил свою оценку, добавив к списку потерь 9,3 миллиона украденных токенов CCS на сумму около 4,5 миллиона долларов. Таким образом, по независимым подсчетам, общий ущерб мог достигать 8,8 миллиона долларов.
Официальная позиция IoTeX:
Соучредитель IoTeX Рауллен Чай (Raullen Chai) оперативно отреагировал на ситуацию, заявив прессе, что «ситуация находится под контролем». Команда проекта оспорила цифры, озвученные независимыми аналитиками. В своем электронном письме изданию The Block Рауллен Чай пояснил: «Мы все еще собираем данные, но на данный момент сумма ущерба оценивается примерно в 2 миллиона долларов».
Такое расхождение в цифрах часто встречается на ранних этапах расследования блокчейн-инцидентов. Это может быть связано с тем, что часть несанкционированно выпущенных токенов хакер не успел или не смог реализовать на открытом рынке (слить в стакан) из-за нехватки ликвидности, что делает их фактическую (реализуемую) стоимость гораздо ниже номинальной.
Реакция сети и экстренные меры
Масштабные эксплойты требуют немедленного вмешательства. Как только атака была подтверждена, блокчейн IoTeX был остановлен. Примерно в 10:00 утра по времени EST сеть прекратила обработку новых блоков. Остановка блокчейна (halt) — это радикальная мера, которую разработчики применяют в крайних случаях, чтобы предотвратить дальнейший отток средств и зафиксировать состояние сети для последующего восстановления.
Параллельно с техническими работами команда IoTeX активизировала работу с партнерами. По словам Рауллена Чая, разработчики немедленно связались с централизованными криптовалютными биржами (CEX), чтобы заморозить адреса хакера. «Они [хакеры] даже не смогут внести токены на депозит», — подчеркнул соучредитель проекта. Блокировка вывода украденных средств в фиат через централизованные площадки — стандартная, но критически важная практика, которая сильно затрудняет злоумышленникам отмывание капиталов (хакерам приходится использовать децентрализованные миксеры или другие, более сложные схемы обхода санкций).
Проблема мостов и закрытых ключей: Уязвимость индустрии
Инцидент с IoTeX поднимает одну из самых острых проблем современной криптовалютной индустрии: безопасность кроссчейн-мостов и централизацию управления.
Кроссчейн-мосты (bridges) объединяют огромные объемы заблокированной ликвидности (TVL), что делает их невероятно привлекательной мишенью для хакеров. Но самое слабое звено в этой системе часто кроется не в ошибках кода смарт-контрактов, а в инфраструктуре безопасности самих разработчиков — в частности, в управлении закрытыми ключами.
Компрометация приватного ключа администратора (или нескольких ключей в случае скомпрометированного multisig-кошелька) дает злоумышленнику права «суперпользователя». Как мы видели в случае с IoTeX, это позволяет не только забирать заблокированные токены, но и бесконтрольно чеканить новые.
Этот вектор атаки не нов. В декабре прошлого года аналогичный инцидент произошел с блокчейном Flow. Тогда компрометация закрытого ключа также позволила хакеру отчеканить токены и вывести около 3,9 миллиона долларов, прежде чем сеть предприняла противоречивую попытку «откатить» (rollback) транзакции. Эти случаи демонстрируют, что даже технологически продвинутые проекты (будь то DePIN, Crypto-AI или NFT-инфраструктура) остаются уязвимыми перед базовыми проблемами операционной безопасности (OpSec).
Будущее IoTeX и последствия для сектора DePIN
IoTeX является одним из флагманов перспективного нарратива DePIN (Decentralized Physical Infrastructure Networks), стремясь объединить миллиарды устройств интернета вещей (IoT) с Web3-инфраструктурой. На фоне растущей капитализации проекта (превышающей полмиллиарда долларов) этот взлом стал серьезным репутационным испытанием.
Для восстановления доверия инвесторов и пользователей команде предстоит не только возобновить полноценную работу блокчейна, но и предоставить подробный post-mortem (отчет о расследовании инцидента). Криптосообщество будет ожидать четких ответов на несколько ключевых вопросов:
1. Как именно был скомпрометирован приватный ключ?
2. Почему контракты моста имели единственную точку отказа (single point of failure) в виде этого ключа, и почему не были внедрены механизмы задержки по времени (timelock) или строгая мультиподпись с аппаратными модулями?
3. Каков будет план компенсации пострадавшим пользователям?
