Un atacante drenó primero cerca de 4,3 millones de dólares en criptoactivos desde una bóveda: USDC, USDT, IOTX, PAYG, WBTC y BUSD. Según el analista on-chain conocido como Specter, los fondos se retiraron de forma directa, y no mediante una vulnerabilidad del smart contract.
El daño total podría haber alcanzado los 8,8 millones de dólares, aunque representantes de IoTeX cuestionan esa estimación.
Tras la sustracción, el hacker actuó con rapidez para ocultar el rastro. Cambió los activos obtenidos por ether a través de exchanges descentralizados, entre ellos Uniswap, y después trasladó alrededor de 45 ETH a la red de Bitcoin mediante un puente cross-chain. Para mover el dinero entre redes, el atacante recurrió a THORChain.
A continuación, el desconocido habría utilizado contratos comprometidos para acuñar aproximadamente 111 millones de tokens CIOTX (valorados en unos 4 millones de dólares), que IoTeX emplea para aportar liquidez al protocolo DePIN. Gracias a CIOTX, también se retiraron 9,3 millones de tokens CCS por un importe cercano a 4,5 millones de dólares.
IoTeX confirmó el incidente. El cofundador y director ejecutivo, Raullen Chai, afirmó que los exchanges centralizados están colaborando con el proyecto para rastrear y congelar los fondos. Por el momento, la blockchain de IoTeX permanece temporalmente desconectada. La evaluación inicial del propio equipo sitúa las pérdidas en torno a 2 millones de dólares. Chai sostiene que los tokens CCS y algunos otros están obsoletos desde hace tiempo y carecen de valor, mientras que CIOTX está congelado y el equipo trabaja para impedir que el hacker pueda mover los activos.
Después de las primeras noticias del ataque, el sábado 21 de febrero el token IOTX cotizaba cerca de 0,0049 dólares, con una caída del 9%. El domingo, el precio retrocedió otro 5,3% hasta los 0,0047 dólares.
Specter también señaló un vínculo entre la cartera del atacante de IoTeX y el asalto al neobanco Infini en febrero de 2025, que provocó pérdidas por 49 millones de dólares. El equipo de Infini acusó a un exdesarrollador llamado Chen Shanxuan de usar claves de acceso para sustraer los activos.
En paralelo, hace pocos días el protocolo descentralizado de préstamos cripto Moonwell sufrió un hackeo: se extrajeron 1,78 millones de dólares debido a un error atribuido a inteligencia artificial.