IoTeX ofereceu uma recompensa de 10% em white-hat ao hacker ou aos hackers que exploraram uma chave privada em sua ponte cross-chain ioTube, desviando milhões de dólares, em troca do retorno voluntário dos fundos dentro de 48 horas.
Com este movimento, a IoTeX está oferecendo $440.000 se o ou os atores maliciosos devolverem aproximadamente $4,4 milhões que roubaram, segundo um post no IoTeX X, ao qual o cofundador e CEO da IoTeX, Raullen Chai, apontou como “fonte de verdade” na segunda-feira.
Chai disse à CoinDesk que a equipe enviou uma mensagem onchain oferecendo não buscar ação legal nem compartilhar informações identificáveis com as autoridades policiais se os fundos restantes forem devolvidos.
“Trata-se da exploração da ponte ioTube em 21 de fevereiro de 2026,” Chai said in the message. “Todos os movimentos de fundos pela Ethereum, IoTeX e bitcoin foram totalmente rastreados.”
A mensagem afirma que os depósitos da exchange foram marcados e congelados e oferece uma recompensa de 10% pela devolução dos fundos restantes.
Chai também disse que a IoTeX está lançando uma nova versão da cadeia, Mainnet v2.3.4, exigindo que os operadores de nodes atualizem. A atualização inclui uma lista negra padrão de endereços maliciosos de contas externas proprietárias (EOA).
“Esta lista negra contém uma lista de endereços EOA maliciosos ou problemáticos que serão filtrados pelo node,” disse Chai.
A oferta vem após uma exploração em 21 de fevereiro na qual uma chave privada de proprietário de validador comprometida permitiu controle não autorizado sobre os contratos da ponte ioTube.
IoTeX disse que o incidente está “sob controle”, afirmando que sua blockchain Layer 1 não foi afetada e que a violação foi isolada na infraestrutura do lado Ethereum da ponte.
O token IOTX caiu aproximadamente 22% após a exploração, descendo de $0,0054 para abaixo de $0,0042 antes de parcialmente se recuperar.
Pontes intercadeias têm sido um dos principais pontos de falha da cripto, com vários ataques de grande destaque nos últimos anos. De acordo com relatórios da indústria, mais de US$ 3,2 bilhões foram perdidos devido a ataques em pontes intercadeias, tornando-as um alvo primário para atores de ameaças avançadas.
IoTeX classificou a exploração como um problema operacional específico da ponte, e não como uma falha de sua rede Layer 1.
“IoTube é a própria ponte cross-chain do IoTeX, construída e mantida por sua equipe”, disse Nick Motz, CEO do ORQO Group e CIO da Soil, à CoinDesk. “A violação ocorreu devido a uma chave privada do proprietário do validador comprometida no lado Ethereum, o que é fundamentalmente uma falha de segurança operacional, e não uma vulnerabilidade de contrato inteligente descoberta por um ator externo.”
Motz concordou que a camada 1 da IoTeX não foi comprometida, mas disse que os fundos dos usuários foram confiados especificamente à ponte.
“Quando você constrói e opera a infraestrutura da ponte e a gestão de chaves é o que falha, é difícil se distanciar desse resultado”, disse ele.
Nanak Nihal Khalsa, co-fundador da human.tech, disse que a responsabilidade no cripto geralmente se resume à custódia de chaves.
“Sim, quem possui a chave privada é responsável por protegê-la”, disse Khalsa. “Essa é uma responsabilidade razoável? É difícil dizer. Mas é assim que a indústria funciona atualmente.”
Ele acrescentou que as normas de responsabilidade ainda não estão definidas em comparação com a finança tradicional e pediu configurações mais robustas de carteira e multisig para reduzir riscos semelhantes.
A análise on-chain da empresa de segurança PeckShield estimou que mais de US$ 8 milhões em ativos foram afetados, dizendo que o atacante trocou os fundos por ether (ETH) e começou a transferi-los para bitcoin BTC$64,622.12 por meio do THORChain.
“O hacker trocou os fundos roubados por $ETH e começou a transferi-los para #BTC por meio de #Thorchain,” escreveu a empresa.
Outro investigador onchain, Specter, disse no X que “a chave privada de @iotex_io pode ter sido comprometida”, resultando em uma perda estimada de US$ 4,3 milhões.
“Uma vez que os ativos são roteados através da THORChain […] a recuperação torna-se extremamente difícil,” disse Motz.
IoTeX disse que identificou quatro endereços de bitcoin com 66,78 BTC, valendo aproximadamente US$ 4,3 milhões aos preços atuais, e que os endereços estão sendo monitorados em cooperação com exchanges.
Uma análise da CoinDesk desses endereços em 23 de fevereiro confirmou que eles detinham aproximadamente 66,6 BTC.
IoTeX não respondeu imediatamente ao pedido de comentário da CoinDesk.
“A contenção não é a mesma coisa que a recuperação”, ele acrescentou. “Os ativos com valor de mercado real foram trocados e ponteados. Esses, na minha avaliação, têm pouca probabilidade de serem recuperados.”
Khalsa também alertou que as perspectivas de recuperação são incertas. “É difícil prever quanto, se houver algum, pode ser recuperado”, disse ele.
IoTeX revisou sua estimativa para aproximadamente US$ 4,3 milhões, refletindo o dano direto aos ativos, mas excluindo os tokens cunhados. Motz disse que estimativas mais abrangentes podem melhor capturar a gravidade da violação.
“A compromisão da chave privada, e não falhas em contratos inteligentes, está surgindo como um vetor de ataque dominante,” disse Motz, observando que tais incidentes visam a segurança operacional, e não código auditado.
Antes de oferecer o bônus de 10%, IoTeX disse que um plano de compensação estaria em vigor nas próximas 48 horas.