IoTeX menawarkan ganjaran white-hat sebanyak 10% kepada hacker atau hacker-hacker yang mengeksploitasi kunci peribadi di jambatan lintas-chains ioTube mereka, yang menarik jutaan dolar, sebagai pertukaran untuk pengembalian dana secara sukarela dalam tempoh 48 jam.
Dengan langkah ini, IoTeX menawarkan $440,000 jika pelaku jahat atau pelaku-pelaku tersebut mengembalikan sekitar $4.4 juta yang mereka curi, menurut sebuah pos IoTeX X, yang ditunjuk oleh rekan pendiri dan CEO IoTeX, Raullen Chai, sebagai “sumber kebenaran” pada hari Senin.
Chai memberitahu CoinDesk bahawa pasukan itu menghantar mesej onchain yang menawarkan untuk tidak mengambil tindakan undang-undang atau berkongsi maklumat pengenalan dengan pihak berkuasa jika dana yang tinggal dipulangkan.
“Ini berkaitan dengan eksploit jambatan ioTube pada 21 Februari 2026,” kata Chai said in the message. “Semua pergerakan dana melalui ethereum, IoTeX, dan bitcoin telah dilacak sepenuhnya.”
Mesej tersebut menyatakan bahawa deposit bursa telah ditandai dan dibekukan, serta menawarkan ganjaran 10% untuk pengembalian dana yang tinggal.
Chai juga mengatakan IoTeX sedang melancarkan versi rantai baharu, Mainnet v2.3.4, yang memerlukan operator nod untuk mengemas kini. Kemas kini ini termasuk senarai hitam lalai bagi alamat akaun milik luar (EOA) jahat.
“Senarai hitam ini mengandungi senarai alamat EOA jahat atau bermasalah yang akan disaring oleh nod,” kata Chai.
Tawaran ini datang selepas eksploit pada 21 Februari di mana kunci peribadi pemilik validator yang disusupi membolehkan kawalan tidak sah atas kontrak jambatan ioTube.
IoTeX mengatakan insiden ini “berada di bawah kawalan,” dengan menyatakan bahawa blok rantai Layer 1nya tidak terjejas dan pelanggaran tersebut terhadap infrastruktur sisi Ethereum jambatan.
Token IOTX jatuh kira-kira 22% selepas eksploit, turun dari $0.0054 ke bawah $0.0042 sebelum pulih sebahagian.
Jambatan lintas-chian telah menjadi salah satu titik kegagalan utama dalam dunia kripto, dengan beberapa serangan terkenal dalam beberapa tahun terakhir. Menurut laporan industri, lebih daripada $3.2 bilion telah hilang akibat serangan terhadap jambatan lintas-chian, menjadikannya sasaran utama bagi pelaku ancaman canggih.
IoTeX menggambarkan eksploitasi tersebut sebagai isu operasi yang khusus kepada jambatan berbanding kegagalan rangkaian Layer 1nya.
“IoTube adalah jambatan silang-rantaian milik IoTeX yang dibina dan diselenggarakan oleh pasukan mereka,” kata Nick Motz, CEO ORQO Group dan CIO Soil, kepada CoinDesk. “Pelancongan berlaku akibat kunci peribadi pemilik validator yang telah disusupi di sisi ethereum, yang pada dasarnya merupakan kegagalan keselamatan operasi, bukan kerentanan kontrak pintar yang ditemui oleh pihak luar.”
Motz bersetuju bahawa Layer 1 IoTeX tidak diserang tetapi mengatakan dana pengguna dipercayakan secara khusus kepada jambatan.
“Apabila anda membina dan mengendalikan infrastruktur jambatan dan pengurusan kunci adalah apa yang gagal, ia sukar untuk memisahkan diri daripada hasil itu,” katanya.
Nanak Nihal Khalsa, salah seorang penubuh human.tech, berkata bahawa tanggungjawab dalam kripto sering kali bergantung kepada pengurusan kunci.
“Ya, siapa sahaja yang memegang kunci peribadi bertanggungjawab untuk mengamankannya,” kata Khalsa. “Adakah tanggungjawab itu munasabah? Sukar untuk mengatakan. Tetapi itulah cara industri berfungsi sekarang.”
Dia menambah bahawa norma tanggungjawab masih tidak jelas berbanding kewangan tradisional dan meminta peningkatan pengaturan dompet dan multisig untuk mengurangkan risiko serupa.
Analisis di atas rantai oleh firma keselamatan PeckShield menganggarkan lebih daripada $8 juta aset yang terjejas, dengan mengatakan penyerang menukar dana menjadi ether (ETH) dan mula memindahkan mereka ke bitcoin BTC$64,622.12 melalui THORChain.
“Hacker telah menukar dana yang dicuri ke $ETH dan telah memulakan proses jembatan dana tersebut ke #BTC melalui #Thorchain,” tulis firma tersebut.
Seorang penyiasat onchain lain, Specter, berkata di X bahawa “kunci peribadi @iotex_io mungkin telah disusupi,” yang mengakibatkan kerugian berjumlah kira-kira $4.3 juta.
“Apabila aset dialirkan melalui THORChain […] pemulihan menjadi sangat sukar,” kata Motz.
IoTeX mengatakan ia telah mengenal pasti empat alamat bitcoin yang memegang 66.78 BTC bernilai kira-kira $4.3 juta pada harga semasa dan alamat-alamat tersebut sedang dipantau bekerjasama dengan bursa.
Ulasan CoinDesk terhadap alamat-alamat tersebut pada 23 Februari mengesahkan bahawa mereka memegang sekitar 66.6 BTC.
IoTeX tidak segera menanggapi permintaan komen dari CoinDesk.
“Penyekatan bukanlah perkara yang sama dengan pemulihan,” tambahnya. “Aset-aset yang mempunyai nilai pasaran sebenar telah ditukar dan dijembatani. Menurut penilaian saya, aset-aset tersebut tidak mungkin dipulihkan.”
Khalsa juga berwaspada bahawa prospek pemulihan adalah tidak pasti. “Sukar untuk meramal seberapa banyak, jika ada apa-apa, yang boleh dipulihkan,” katanya.
IoTeX telah menaikkan angkanya kepada kira-kira $4.3 juta, mencerminkan penurunan aset langsung tetapi tidak termasuk token yang dicetak. Motz mengatakan anggaran yang lebih luas mungkin lebih baik dalam menangkap keparahan pelanggaran tersebut.
“Kompromi kunci peribadi, bukan ralat kontrak pintar, muncul sebagai vektor serangan utama,” kata Motz, mencatat bahawa insiden semacam itu menargetkan keselamatan operasi berbanding kod yang telah diaudit.
Sebelum menawarkan bounty 10%, IoTeX berkata rancangan kompensasi akan dilaksanakan dalam tempoh 48 jam ke depan.