Ibinigay ng IoTeX ang 10% na white-hat bounty sa hacker o mga hacker na nag-exploit ng private key sa kanilang cross-chain bridge na ioTube, na nag-uwi ng milyon-milyong dolyar, sa palitan ng voluntary na pagbabalik ng pera sa loob ng 48 oras.
Sa pagkilos na ito, ibinibigay ng IoTeX ang $440,000 kung ang masasamang aktor o mga aktor ay babalikin ang halos $4.4 milyon na kanilang sinupil, ayon sa IoTeX X post, kung saan pinuntahan ni Raullen Chai, co-founder at CEO ng IoTeX, ito bilang “source of truth” noong Lunes.
Sinabi ni Chai kay CoinDesk na ang koponan ay nagpadala ng onchain message na nag-aalok na huwag pagsisihan ang legal na aksyon o pagbabahagi ng mga impormasyon na makakatukoy sa mga awtoridad kung babalikin ang natitirang pera.
"Tungkol sa paglabag sa ioTube bridge noong Feb. 21, 2026," sabi ni Chai said in the message. "Nakatuklas na ang lahat ng galaw ng mga pondo sa Ethereum, IoTeX, at bitcoin."
Ang mensahe ay nagpapahayag na ang mga pag-deposit sa exchange ay nakalatag at na-frozen at nag-aalok ng 10% na bounty para sa pagbabalik ng natitirang pera.
Sinabi rin ni Chai na ang IoTeX ay naglalabas ng bagong bersyon ng chain, Mainnet v2.3.4, na nangangailangan ng pag-upgrade mula sa mga node operator. Kasama sa pag-update ang default blacklist ng mga masasamang address ng externally owned account (EOA).
“Ang blacklist na ito ay naglalaman ng listahan ng mga masasamang o problema sa EOA addresses na hihintayin ng node,” sabi ni Chai.
Ang tawag ay sumusunod sa isang pag-atake noong Pebrero 21 kung saan ang isang napapalitan na private key ng validator owner ay nagbigay ng hindi awtorisadong kontrol sa mga bridge contract ng ioTube.
Sinabi ng IoTeX na nasa ilalim ng kontrol ang insidente, na ang kanilang Layer 1 blockchain ay hindi naapektuhan at ang paglabas ay limitado lamang sa Ethereum-side infrastructure ng bridge.
Bumaba ng humigit-kumulang 22% ang IOTX token pagkatapos ng exploit, bumaba mula sa $0.0054 patungo sa mas mababa sa $0.0042 bago bumalik ng bahagya.
Ang mga cross-chain bridge ay isa sa mga pangunahing puntos ng pagkabigo sa crypto, na may ilang malalaking paglabag sa nakaraang mga taon. Ayon sa mga ulat ng industriya, higit sa $3.2 bilyon ang nawala dahil sa mga pag-hack sa cross-chain bridge, na ginagawa itong pangunahing layunin ng mga advanced na aktor ng banta.
Ipinakita ng IoTeX ang exploit bilang isang operasyonal na isyu na espesipiko sa tulay kaysa sa pagkabigo ng kanyang Layer 1 network.
“IoTube ay ang sariling cross-chain bridge ng IoTeX na itinayo at pinapanatili ng kanilang team,” ayon kay Nick Motz, CEO ng ORQO Group at CIO ng Soil, sa CoinDesk. “Ang paglabas ay nangyari dahil sa napapahintulot na private key ng validator owner sa gilid ng ethereum, na isang pangunahing pagkabigo sa operasyonal na seguridad, hindi isang vulnerability sa smart contract na natuklasan ng isang panlabas na aktor.”
Sumang-ayon si Motz na hindi na-compromise ang Layer 1 ng IoTeX ngunit sinabi niya na ang mga pondo ng user ay inilagay sa espesyal na bridge.
“Kapag binubuo at pinapatakbo mo ang imprastruktura ng tulay at ang pamamahala ng susi ang nagkakamali, mahirap maghiwalay sa iyong sarili mula sa resultang iyon,” ayon sa kanya.
Sinabi ni Nanak Nihal Khalsa, co-founder ng human.tech, na ang pagkakaroon ng responsibilidad sa crypto ay madalas ay nakadepende sa pagkakaroon ng susi.
“Oo, sinuman ang may-ari ng private key ay responsable sa pagpapanatili nito,” sabi ni Khalsa. “Iba bang makatwiran ang responsibilidad na ito? Mahirap sabihin. Pero ganito ang paraan ng industriya ngayon.”
Dagdag niya na ang mga norma tungkol sa pagkakasala ay patuloy na hindi nakakasetya kumpara sa tradisyonal na pagsasapalaran at humingi ng mas malakas na wallet at multisig setup upang mabawasan ang mga katulad na panganib.
Ipinag-estimate ng security firm na PeckShield ang higit sa $8 milyon na halaga ng mga ari-arian na naapektuhan, sinasabi na ang attacker ay nagpalit ng mga pondo patungo sa ether (ETH) at nagsimula na mag-bridge nito patungo sa bitcoin BTC$64,622.12 sa pamamagitan ng THORChain.
“Ang hacker ay nagpalit ng mga ninakaw na pondo sa $ETH at nagsimula nang i-bridge ang mga ito patungo sa #BTC gamit ang #Thorchain,” ayon sa kompanya.
Isang iba pang tagapag-imbestiga sa onchain, ang Specter, sabi sa X na “maaaring nakompromiso ang private key ng @iotex_io,” na nagresulta sa isang pinakahuhulaang pagkawala ng $4.3 milyon.
“Kapag ang mga ari-arian ay pinadala sa pamamagitan ng THORChain […] ang pagkuha muli ay naging napakahirap,” sabi ni Motz.
Sinabi ng IoTeX na natukoy nila ang apat na bitcoin address na naglalaman ng 66.78 BTC na may halagang humigit-kumulang $4.3 milyon sa kasalukuyang presyo at na sinusubaybayan ang mga address sa pakikipag-ugnayan sa mga exchange.
Isang pagsusuri ng CoinDesk sa mga adres noong Feb. 23 ay nag-verify na mayroon silang halos 66.6 BTC.
Hindi agad tumugon ang IoTeX sa hiling ng CoinDesk para sa komento.
“Hindi pareho ang pagkakasaklaw at pagbabalik,” dagdag niya. “Ang mga asset na may tunay na halaga sa merkado ay napalitan at nabridges. Sa aking pagtataya, hindi malamang na babalik ang mga ito.”
Kasalukuyang binigyan ng babala ni Khalsa na ang mga pag-asa para sa pagbabalik ay hindi tiyak. “Mahirap ipaghambing kung gaano karami, kung mayroon man, ang mababawi,” sabi niya.
Ibinaba ng IoTeX ang kanyang numero pataas sa halos $4.3 milyon, na nagpapakita ng direkta pagbaba ng ari-arian ngunit hindi kasama ang mga minted na token. Sinabi ni Motz na mas mabuting kumukuha ng mas malawak na mga estima upang mas maipakita ang kalubusan ng paglabas.
“Ang pagkakasira ng private key kaysa sa mga bug sa smart contract ay lumalabas bilang pangunahing paraan ng pag-atake,” sabi ni Motz, na nagtuturo na ang ganitong mga insidente ay tumutok sa operasyonal na seguridad kaysa sa nai-audit na code.
Bago magbigay ng 10% na bounty, sinabi ng IoTeX said a compensation plan na magkakaroon ng plano sa kompensasyon sa loob ng susunod na 48 oras.