IoTeX ofreció una recompensa de white-hat del 10% al hacker o a los hackers que explotaron una clave privada en su puente multicanal ioTube, desviando millones de dólares, a cambio de la devolución voluntaria de los fondos dentro de las 48 horas.
Con este movimiento, IoTeX ofrece $440,000 si el o los actores maliciosos devuelven aproximadamente $4.4 millones que robaron, según una publicación de IoTeX en X, a la que el cofundador y CEO de IoTeX, Raullen Chai, señaló como “fuente de verdad” el lunes.
Chai le dijo a CoinDesk que el equipo envió un mensaje en la cadena ofreciendo no emprender acciones legales ni compartir información identificable con las autoridades si se devuelven los fondos restantes.
“Se trata sobre la explotación del puente ioTube el 21 de febrero de 2026,” dijo Chai en el mensaje. “Todos los movimientos de fondos a través de ethereum, IoTeX y bitcoin han sido completamente rastreados.”
El mensaje indica que los depósitos en el exchange han sido marcados y congelados, y ofrece una recompensa del 10% por la devolución de los fondos restantes.
Chai también dijo que IoTeX está lanzando una nueva versión de cadena, Mainnet v2.3.4, que requiere que los operadores de nodos realicen la actualización. La actualización incluye una lista negra predeterminada de direcciones de cuentas externas propiedad (EOA) maliciosas.
“Esta lista negra contiene una lista de direcciones EOA maliciosas o problemáticas que serán filtradas por el nodo,” dijo Chai.
La oferta se produce tras un exploit el 21 de febrero en el que una clave privada de propietario de validador comprometida permitió el control no autorizado sobre los contratos puente de ioTube.
IoTeX dijo que el incidente está “bajo control”, indicando que su cadena de bloques Layer 1 no se vio afectada y que la brecha se limitó a la infraestructura del puente en el lado de Ethereum.
El token IOTX cayó aproximadamente un 22% tras el exploit, descendiendo de $0.0054 a menos de $0.0042 antes de recuperarse parcialmente.
Los puentes entre cadenas han sido uno de los puntos principales de fallo del cripto, con varios exploits de alto perfil en los últimos años. Según informes de la industria, más de $3.2 mil millones se han perdido debido a ataques a puentes entre cadenas, lo que los convierte en un objetivo principal para actores de amenazas avanzadas.
IoTeX describió el exploit como un problema operativo específico del puente, y no como un fallo de su red de Layer 1.
“IoTube es el puente entre cadenas propio de IoTeX, construido y mantenido por su equipo”, dijo Nick Motz, CEO de ORQO Group y CIO de Soil, a CoinDesk. “La brecha se debió a una clave privada del propietario del validador comprometida en el lado de Ethereum, lo que es fundamentalmente un fallo de seguridad operacional, no una vulnerabilidad del contrato inteligente descubierta por un actor externo.”
Motz acordó que la capa 1 de IoTeX no fue comprometida, pero dijo que los fondos de los usuarios fueron confiados específicamente al puente.
“Cuando construyes y operas la infraestructura del puente y la gestión de claves es lo que falla, es difícil distanciarte de ese resultado”, dijo.
Nanak Nihal Khalsa, cofundador de human.tech, dijo que la responsabilidad en cripto a menudo se reduce a la custodia de claves.
"Sí, quien tenga la clave privada es responsable de protegerla," dijo Khalsa. "¿Es esa una responsabilidad razonable? Es difícil decirlo. Pero así funciona la industria en este momento."
Él añadió que las normas de responsabilidad siguen sin definirse en comparación con las finanzas tradicionales y pidió configuraciones más sólidas de monedero y multisignatura para reducir riesgos similares.
El análisis en cadena de la firma de seguridad PeckShield estimó que más de 8 millones de dólares en activos fueron afectados, diciendo que el atacante intercambió los fondos por ether (ETH) y comenzó a puentearlos a bitcoin BTC$64,622.12 a través de THORChain.
“El hacker ha intercambiado los fondos robados por $ETH y ha comenzado a puentearlos hacia #BTC a través de #Thorchain,” escribió la empresa.
Otro investigador onchain, Specter, dijo en X que “la clave privada de @iotex_io podría haber sido comprometida”, lo que resultó en una pérdida estimada de $4.3 millones.
“Una vez que los activos se redirigen a través de THORChain […] la recuperación se vuelve extremadamente difícil,” dijo Motz.
IoTeX dijo ha identificado cuatro direcciones de bitcoin que poseen 66.78 BTC, valorados en aproximadamente $4.3 millones al precio actual, y que las direcciones están siendo monitoreadas en cooperación con exchanges.
Una revisión de CoinDesk de esas direcciones el 23 de febrero confirmó que tenían aproximadamente 66,6 BTC.
IoTeX no respondió inmediatamente a la solicitud de comentario de CoinDesk.
“La contención no es lo mismo que la recuperación,” agregó. “Los activos con valor de mercado real fueron intercambiados y puenteados. Estos, en mi evaluación, es poco probable que se recuperen.”
Khalsa también advirtió que las perspectivas de recuperación son inciertas. “Es difícil predecir cuánto, si es que algo, se puede recuperar”, dijo.
IoTeX revisó su cifra al alza hasta aproximadamente $4.3 millones, reflejando la pérdida directa de activos pero excluyendo los tokens acuñados. Motz dijo que las estimaciones más amplias podrían capturar mejor la gravedad de la brecha.
“La compensación de la clave privada, en lugar de errores en contratos inteligentes, está surgiendo como un vector de ataque dominante,” dijo Motz, señalando que tales incidentes apuntan a la seguridad operativa en lugar de código auditado.
Antes de ofrecer la recompensa del 10%, IoTeX dijo que un plan de compensación estaría en vigor dentro de las próximas 48 horas.