IoTeX a offert une récompense de 10 % en white-hat au ou aux pirates ayant exploité une clé privée sur son pont cross-chain ioTube, ayant dérobé des millions de dollars, en échange du retour volontaire des fonds dans les 48 heures.
Avec ce geste, IoTeX offre 440 000 $ si l'acteur ou les acteurs malveillants rendent environ 4,4 million de dollars qu'ils ont volés, selon un post sur IoTeX X, auquel le cofondateur et PDG d'IoTeX, Raullen Chai, a fait référence « comme source de vérité » lundi.
Chai a déclaré à CoinDesk que l'équipe avait envoyé un message sur la chaîne offrant de ne pas poursuivre d'action légale ni partager d'informations d'identification avec les autorités si les fonds restants sont retournés.
« Il s'agit de l'exploit du pont ioTube du 21 février 2026 », a déclaré Chai dans le message. « Tous les mouvements de fonds sur Ethereum, IoTeX et bitcoin ont été entièrement traçés. »
Le message indique que les dépôts sur la plateforme d'échange ont été signalés et gelés, et propose une récompense de 10 % pour la restitution des fonds restants.
Chai a également déclaré qu'IoTeX déploie une nouvelle version de chaîne, Mainnet v2.3.4, nécessitant une mise à jour des opérateurs de nœuds. Cette mise à jour inclut une liste noire par défaut d'adresses malveillantes de comptes externes propriétaires (EOA).
« Cette liste noire contient une liste d’adresses EOA malveillantes ou problématiques qui seront filtrées par le nœud », a déclaré Chai.
L'offre intervient après une exploitation du 21 février au cours de laquelle une clé privée d'un propriétaire de validateur compromise a permis un contrôle non autorisé sur les contrats de pont d"ioTube".
IoTeX a déclaré que l'incident est « sous contrôle », précisant que sa blockchain de niveau 1 n'a pas été affectée et que la violation a été limitée à l'infrastructure côté Ethereum du pont.
Le token IOTX a chuté d'environ 22 % suite à l'exploitation, passant de 0,0054 $ à moins de 0,0042 $ avant de se reprendre partiellement.
Les ponts interchaînes ont été l'un des principaux points de défaillance du crypto, avec plusieurs exploitations de haut niveau ces dernières années. Selon les rapports de l'industrie, plus de 3,2 milliards de dollars ont été perdus à cause de piratages de ponts interchaînes, ce qui en fait une cible privilégiée pour les acteurs de menaces avancées.
IoTeX a qualifié l'exploitation comme un problème opérationnel spécifique au pont, et non comme une défaillance de son réseau de couche 1.
« IoTube est le pont cross-chain propre à IoTeX, construit et maintenu par leur équipe », a déclaré Nick Motz, PDG du groupe ORQO et CIO de Soil, à CoinDesk. « La violation est due à une clé privée du propriétaire d’un validateur compromise du côté Ethereum, ce qui constitue fondamentalement une défaillance de sécurité opérationnelle, et non une vulnérabilité du contrat intelligent découverte par un acteur externe. »
Motz a convenu que la couche 1 d'IoTeX n'avait pas été compromise, mais a déclaré que les fonds des utilisateurs avaient été confiés spécifiquement à la passerelle.
« Lorsque vous construisez et exploitez l’infrastructure du pont et que la gestion des clés échoue, il est difficile de vous distinguer de ce résultat », a-t-il déclaré.
Nanak Nihal Khalsa, cofondateur de human.tech, a déclaré que la responsabilité dans la cryptomonnaie se résume souvent à la gestion des clés.
« Oui, celui qui détient la clé privée est responsable de la sécuriser », a déclaré Khalsa. « Est-ce une responsabilité raisonnable ? Il est difficile de le dire. Mais c’est ainsi que fonctionne l’industrie pour le moment. »
Il a ajouté que les normes de responsabilité restent floues par rapport à la finance traditionnelle et a appelé à des configurations de wallet et de multisig plus robustes pour réduire ces risques similaires.
L'analyse sur chaîne réalisée par la société de sécurité PeckShield a estimé que plus de 8 millions de dollars d'actifs ont été affectés, indiquant que l'attaquant a échangé les fonds contre de l'ether (ETH) et a commencé à les transférer vers du bitcoin BTC$64,622.12 via THORChain.
« Le pirate a échangé les fonds volés contre $ETH et a commencé à les transférer vers #BTC via #Thorchain », a écrit l'entreprise.
Un autre investigateur onchain, Specter, a déclaré sur X que « la clé privée de @iotex_io pourrait avoir été compromise », entraînant une perte estimée à 4,3 millions de dollars.
« Une fois les actifs acheminés via THORChain […] la récupération devient extrêmement difficile », a déclaré Motz.
IoTeX a déclaré qu'elle avait identifié quatre adresses bitcoin détenant 66,78 BTC d'une valeur d'environ 4,3 millions de dollars aux prix actuels et que ces adresses sont surveillées en coopération avec les plateformes d'échange.
Un examen de ces adresses par CoinDesk le 23 février a confirmé qu'elles détenaient environ 66,6 BTC.
IoTeX n'a pas répondu immédiatement à la demande de commentaire de CoinDesk.
« La containment n’est pas la même chose que la récupération », a-t-il ajouté. « Les actifs ayant une valeur marchande réelle ont été échangés et pontés. Selon moi, il est peu probable qu’ils soient récupérés. »
Khalsa a également averti que les perspectives de récupération sont incertaines. « Il est difficile de prédire combien, s'il y en a, peut être récupéré », a-t-il déclaré.
IoTeX a révisé son chiffre à la hausse à environ 4,3 millions de dollars, en tenant compte du prélèvement direct d'actifs mais en excluant les jetons créés. Motz a déclaré que des estimations plus larges pourraient mieux refléter la gravité de la violation.
« La compromission de la clé privée, plutôt que les bogues de contrat intelligent, devient un vecteur d’attaque dominant », a déclaré Motz, notant que ces incidents ciblent la sécurité opérationnelle plutôt que le code audité.
Avant d'offrir la récompense de 10 %, IoTeX a déclaré qu'un plan de compensation serait en place dans les 48 prochaines heures.