IoTeX menawarkan bounty white-hat 10% kepada peretas atau para peretas yang mengeksploitasi kunci pribadi di jembatan lintas-rantai ioTube mereka, mencuri jutaan dolar, sebagai ganti pengembalian sukarela dana dalam waktu 48 jam.
Dengan langkah ini, IoTeX menawarkan $440.000 jika pelaku atau pelaku jahat mengembalikan sekitar $4,4 juta yang mereka curi, menurut sebuah postingan IoTeX X, yang ditunjuk oleh co-founder dan CEO IoTeX, Raullen Chai, sebagai "sumber kebenaran" pada hari Senin.
Chai mengatakan kepada CoinDesk bahwa tim tersebut mengirim pesan onchain yang menawarkan untuk tidak mengejar tindakan hukum atau membagikan informasi identitas kepada penegak hukum jika dana yang tersisa dikembalikan.
"Ini terkait eksploitasi jembatan ioTube pada 21 Februari 2026," kata Chai said in the message. "Semua pergerakan dana di Ethereum, IoTeX, dan bitcoin telah sepenuhnya dilacak."
Pesan tersebut menyatakan bahwa setoran bursa telah ditandai dan dibekukan, serta menawarkan imbalan 10% untuk pengembalian dana yang tersisa.
Chai juga mengatakan IoTeX sedang meluncurkan versi rantai baru, Mainnet v2.3.4, yang mengharuskan operator node untuk melakukan pembaruan. Pembaruan ini mencakup daftar hitam default untuk alamat akun milik eksternal (EOA) jahat.
“Daftar hitam ini berisi daftar alamat EOA jahat atau bermasalah yang akan difilter oleh node,” kata Chai.
Penawaran ini muncul setelah eksploitasi pada 21 Februari di mana kunci pribadi pemilik validator yang dikompromikan memungkinkan kendali tidak sah atas kontrak jembatan ioTube.
IoTeX mengatakan insiden tersebut “dalam kendali,” dengan menyatakan bahwa blockchain Layer 1-nya tidak terpengaruh dan pelanggaran tersebut terbatas pada infrastruktur sisi Ethereum dari jembatan tersebut.
Token IOTX jatuh sekitar 22% setelah eksploitasi, turun dari $0,0054 menjadi di bawah $0,0042 sebelum sebagian pulih.
Jembatan lintas rantai telah menjadi salah satu titik kegagalan utama dalam dunia kripto, dengan beberapa serangan besar yang terjadi dalam beberapa tahun terakhir. Menurut laporan industri, lebih dari $3,2 miliar telah hilang akibat serangan terhadap jembatan lintas rantai, menjadikannya target utama bagi pelaku ancaman canggih.
IoTeX memandang eksploitasi tersebut sebagai masalah operasional yang spesifik pada jembatan, bukan kegagalan pada jaringan Layer 1-nya.
“IoTube adalah jembatan lintas-rantai milik IoTeX yang dibangun dan dipelihara oleh tim mereka,” kata Nick Motz, CEO ORQO Group dan CIO Soil, kepada CoinDesk. “Pelanggaran tersebut disebabkan oleh kunci pribadi pemilik validator yang dikompromikan di sisi Ethereum, yang pada dasarnya merupakan kegagalan keamanan operasional, bukan kerentanan kontrak pintar yang ditemukan oleh pihak luar.”
Motz menyetujui bahwa Layer 1 IoTeX tidak diretas, tetapi mengatakan dana pengguna dipercayakan secara khusus ke jembatan.
“Ketika Anda membangun dan mengoperasikan infrastruktur jembatan dan manajemen kunci adalah yang gagal, sulit untuk memisahkan diri dari hasil tersebut,” katanya.
Nanak Nihal Khalsa, co-founder human.tech, mengatakan tanggung jawab dalam kripto sering kali bergantung pada pengelolaan kunci.
“Ya, siapa pun yang memegang kunci pribadi bertanggung jawab untuk mengamankannya,” kata Khalsa. “Apakah itu tanggung jawab yang wajar? Sulit untuk mengatakan. Tetapi itulah cara industri ini bekerja saat ini.”
Dia menambahkan bahwa norma kewajiban masih belum jelas dibandingkan dengan keuangan tradisional dan menyerukan peningkatan pengaturan dompet dan multisig untuk mengurangi risiko serupa.
Analisis on-chain oleh perusahaan keamanan PeckShield memperkirakan lebih dari $8 juta aset terdampak, mengatakan pelaku menukar dana menjadi ether (ETH) dan mulai mentransfernya ke bitcoin BTC$64.622,12 melalui THORChain.
“Hacker telah menukar dana yang dicuri menjadi $ETH dan mulai melakukan bridging ke #BTC melalui #Thorchain,” tulis perusahaan tersebut.
Seorang penyelidik onchain lainnya, Specter, berkata di X bahwa “kunci pribadi @iotex_io mungkin telah dikompromikan,” yang mengakibatkan kerugian diperkirakan sebesar $4,3 juta.
“Setelah aset dialihkan melalui THORChain […] pemulihan menjadi sangat sulit,” kata Motz.
IoTeX mengatakan itu telah mengidentifikasi empat alamat bitcoin yang memegang 66,78 BTC senilai sekitar $4,3 juta pada harga saat ini dan bahwa alamat-alamat tersebut sedang dipantau bekerja sama dengan bursa.
Sebuah tinjauan CoinDesk terhadap alamat-alamat tersebut pada 23 Februari mengonfirmasi bahwa mereka memegang sekitar 66,6 BTC.
IoTeX tidak segera menanggapi permintaan komentar dari CoinDesk.
“Penahanan bukanlah hal yang sama dengan pemulihan,” tambahnya. “Aset-aset dengan nilai pasar nyata telah ditukar dan dijembatani. Menurut penilaian saya, aset-aset tersebut tidak mungkin dipulihkan.”
Khalsa juga memperingatkan bahwa prospek pemulihan tidak pasti. “Sulit untuk memprediksi seberapa banyak, jika ada, yang dapat dipulihkan,” katanya.
IoTeX merevisi angkanya menjadi sekitar $4,3 juta, mencerminkan penurunan aset langsung tetapi tidak termasuk token yang dicetak. Motz mengatakan perkiraan yang lebih luas mungkin lebih baik dalam menangkap tingkat keparahan pelanggaran tersebut.
“Kompromi kunci pribadi, bukan bug kontrak pintar, muncul sebagai vektor serangan dominan,” kata Motz, mencatat bahwa insiden semacam itu menargetkan keamanan operasional daripada kode yang diaudit.
Sebelum menawarkan bounty 10%, IoTeX menyatakan bahwa rencana kompensasi akan diterapkan dalam waktu 48 jam ke depan.