Eén private key. Meer was er niet nodig om de IoTeX ioTube bridge te compromitteren in februari 2026.
De aanvaller kreeg de validator owner key van de Ethereum-zijde van de bridge te pakken. Daarmee upgradede hij het Validator contract naar een malicious versie die alle validatiechecks verwijderde. Vervolgens drainede hij de TokenSafe vault — USDC, USDT, IOTX, WBTC — en mintte hij ongeveer 111 miljoen CIOTX-tokens en 9,3 miljoen CCS-tokens uit het niets.
Totale verliezen? Dat hangt af van wie je het vraagt. IoTeX sprak van $2 miljoen aan bevestigde economische impact. PeckShield kwam boven de $8 miljoen uit als je de geminte tokens meetelt. Dat verschil doet ertoe — of geminte-maar-bevroren tokens als gerealiseerde verliezen tellen, raakt alles van verzekeringsclaims tot regulatoire meldingen.
Hoe het werkte
Cross-chain bridges locken assets op de ene chain en geven representatieve tokens uit op een andere. De beveiliging van dat model hangt volledig af van wie de validators beheert. In ioTube's Proof-of-Authority-opzet heeft een klein aantal keys buitensporig veel macht. Eén key controleerde contract upgrades, vault-toegang en token minting.
De aanvaller upgradede het contract, verwijderde alle signature checks, en werkte vervolgens in hoog tempo door 189 transacties — assets pakken, tokens minten, swappen naar ETH op Uniswap, en alles via THORChain naar Bitcoin bridgen. Binnen enkele uren zaten de gestolen fondsen in vier BTC-wallets met samen ongeveer 66,6 BTC.
De CEO van IoTeX vertelde aan The Block dat de aanval waarschijnlijk zes tot achttien maanden van tevoren was gepland. Dit was geen toevalstreffer.
De respons
IoTeX handelde snel. Ze bevroren 80-90% van de unauthorized tokens op bridge-niveau voordat die verkocht konden worden. De Layer 1-chain, het consensusmechanisme en de niet-Ethereum bridges bleven allemaal onaangetast. Twee dagen later stuurden ze een on-chain bericht met een aanbod van 10% bounty aan de aanvaller in ruil voor teruggave van de rest.
De snelle containment hielp het forensische beeld. Doordat de meeste illegale tokens werden bevroren voor liquidatie, bleef het bewijsspoor relatief intact. Vergelijk dat met zaken waarin assets zich over tientallen chains verspreiden voordat iemand reageert — een veel lastiger startpunt.
Wat het onderzoek lastig maakte
Multi-chain incidenten zijn altijd complex. Je werkt over IoTeX, Ethereum en Bitcoin — drie chains met verschillende datastructuren, blocktijden en explorer-tooling. Een accurate tijdlijn opbouwen vereist zorgvuldige cross-chain synchronisatie.
De geminte tokens voegden een extra laag toe. Als je die niet apart volgt van legitiem circulerende tokens, verteken je zowel de forensische analyse als de verliesberekeningen.
En zodra fondsen THORChain bereiken, wordt het spoor aanzienlijk lastiger te volgen. Die swaps vinden plaats op protocolniveau, niet via identificeerbare exchange-accounts.
On-chain analisten signaleerden ook een overlap in financieringssporen met de $49M Infini-hack van februari 2025. Nog geen formele attributie, maar het is het volgen waard — het suggereert dat dezelfde groep achter meerdere bridge-exploits kan zitten.
De echte les
Private key compromises waren verantwoordelijk voor 88% van de gestolen fondsen in Q1 2025, en dat patroon zette door in 2026. Als één key upgrades, vault-toegang en minting-autoriteit controleert, ben je één compromis verwijderd van totaal verlies. IoTeX heeft zich gecommitteerd aan een herontwerp met sterkere multi-party key custody. Gezien het feit dat deze aanval meer dan een jaar van tevoren was gepland, kan dat herontwerp zich geen incrementele aanpak veroorloven.