IoTeX предложила 10%-ный белый хакерский бонус хакеру или хакерам, которые эксплуатировали приватный ключ на его межцепочечном мосту ioTube, похитив миллионы долларов, в обмен на добровольный возврат средств в течение 48 часов.
С этой инициативой IoTeX предлагает 440 000 долларов, если злоумышленник или злоумышленники вернут примерно 4,4 миллиона долларов, которые они украли, согласно посту IoTeX в X, на который сооснователь и генеральный директор IoTeX Рауллен Чай указал «как на источник правды» в понедельник.
Чай сообщил CoinDesk, что команда отправила сообщение в блокчейне, предложив не преследовать в судебном порядке и не передавать идентифицирующую информацию правоохранительным органам, если оставшиеся средства будут возвращены.
«Это касается эксплуатации моста ioTube 21 февраля 2026 года», — сказал Чай в сообщении. «Все движения средств через Ethereum, IoTeX и bitcoin полностью отслежены.»
Сообщение утверждает, что депозиты на бирже были помечены и заморожены, и предлагает вознаграждение в размере 10% за возврат оставшихся средств.
Чай также сообщил, что IoTeX запускает новую версию цепочки — Mainnet v2.3.4, требующую обновления от операторов нод. Обновление включает в себя список по умолчанию зловредных адресов внешних аккаунтов (EOA).
«Этот черный список содержит список вредоносных или проблемных адресов EOA, которые будут фильтроваться нодой», — сказал Чай.
Предложение появилось после инцидента 21 февраля, когда скомпрометированный приватный ключ владельца валидатора позволил получить несанкционированный доступ к контрактам моста ioTube.
IoTeX заявила, что инцидент «находится под контролем», отметив, что её Layer 1 блокчейн не пострадал, а утечка ограничилась инфраструктурой моста на стороне Ethereum.
Токен IOTX упал примерно на 22% после эксплуатации уязвимости, снизившись с $0,0054 до ниже $0,0042, прежде чем частично восстановиться.
Мосты между блокчейнами были одним из основных уязвимых мест криптовалюты, с рядом крупных инцидентов в последние годы. Согласно отчетам отрасли, из-за взломов мостов между блокчейнами было потеряно более 3,2 миллиарда долларов, что делает их основной целью для продвинутых злоумышленников.
IoTeX представил эксплуатацию как операционную проблему, специфичную для моста, а не как сбой его сети уровня 1.
«IoTube — это собственный мост через цепочки IoTeX, созданный и поддерживаемый их командой», — сказал CoinDesk Ник Мотц, генеральный директор ORQO Group и главный инвестиционный директор Soil. «Взлом произошел из-за скомпрометированного частного ключа владельца валидатора на стороне ethereum, что является фундаментальной ошибкой операционной безопасности, а не уязвимостью смарт-контракта, обнаруженной внешним участником».
Мотц согласился, что Layer 1 IoTeX не была скомпрометирована, но отметил, что средства пользователей были доверены именно мосту.
«Когда вы создаете и эксплуатируете инфраструктуру моста, и именно управление ключами становится причиной сбоя, сложно отделить себя от такого результата», — сказал он.
Нанак Нихал Халса, сооснователь human.tech, сказал, что ответственность в криптовалюте часто сводится к хранению ключей.
«Да, тот, кто владеет приватным ключом, отвечает за его безопасность», — сказал Халса. «Является ли это разумной ответственностью? Сложно сказать. Но именно так работает отрасль сейчас».
Он добавил, что нормы ответственности остаются неопределенными по сравнению с традиционными финансами, и призвал к усилению настроек кошельков и мультиподписей для снижения подобных рисков.
Анализ в цепочке, проведенный компанией по безопасности PeckShield, оценил, что активы на сумму более 8 миллионов долларов были затронуты; по данным компании, злоумышленник обменял средства на эфир (ETH) и начал переводить их через THORChain в bitcoin BTC$64,622.12.
«Хакер обменял похищенные средства на $ETH и начал переводить их в #BTC через #Thorchain», — написала компания.
Еще один исследователь блокчейна, Specter, сказал в X, что «частный ключ @iotex_io, возможно, был скомпрометирован», что привело к убыткам на сумму около 4,3 млн долларов.
«Как только активы проходят через THORChain […] восстановление становится чрезвычайно сложным», — сказал Мотц.
IoTeX заявила, что она идентифицировала четыре bitcoin-адреса, на которых хранится 66,78 BTC, что составляет примерно 4,3 миллиона долларов по текущим ценам, и что эти адреса находятся под наблюдением в сотрудничестве с биржами.
Обзор CoinDesk этих адресов 23 февраля подтвердил, что они содержат примерно 66,6 BTC.
IoTeX не ответила сразу на запрос CoinDesk о комментарии.
«Сдерживание — это не то же самое, что восстановление», — добавил он. «Активы с реальной рыночной стоимостью были обменены и переведены через мосты. По моей оценке, их вряд ли удастся восстановить.»
Халса аналогично предупредил, что перспективы восстановления неопределённы. «Трудно предсказать, сколько, если вообще что-то, можно восстановить», — сказал он.
IoTeX повысила свою оценку до примерно 4,3 миллиона долларов США, отразив прямое истощение активов, но исключив созданные токены. Мотц заявил, что более широкие оценки могут лучше отразить серьезность нарушения.
«Компрометация приватного ключа, а не ошибки в смарт-контрактах, становится доминирующим вектором атак», — сказал Мотц, отметив, что такие инциденты нацелены на операционную безопасность, а не на прошедший аудит код.
Перед предложением вознаграждения в 10% IoTeX сказал, что план компенсации будет введен в течение следующих 48 часов.