IoTeX, kendi çapraz zincir köprüsü ioTube üzerindeki bir özel anahtarı kullanarak milyonlarca doları çalan haker veya hakerlere, 48 saat içinde fonları gönüllü olarak iade etmeleri karşılığında %10 beyaz şapka avansı sundu.
Bu adımla, IoTeX, kötü niyetli aktör veya aktörlerin çaldıkları yaklaşık 4,4 milyon doları geri getirmeleri halinde 440.000 dolar teklif ediyor, bunu IoTeX ortak kurucusu ve CEO'su Raullen Chai, Pazartesi günü “gerçeklik kaynağı” olarak işaret etti. IoTeX X postu
Chai, CoinDesk'e kalan fonlar geri gönderildiğinde yasal işlem başlatmama veya kimlik bilgilerini yetkililere paylaşmama teklifinde bulunan bir zincirüstü mesaj gönderildiğini söyledi.
“Bu, 21 Şubat 2026 tarihindeki ioTube köprü sızıntısıyla ilgili,” Chai mesajda söyledi. “Ethereum, IoTeX ve bitcoin üzerindeki tüm fon hareketleri tamamen izlendi.”
Mesaj, borsa yatırmalarının işaretlendiğini ve dondurulduğunu belirtiyor ve kalan fonların iade edilmesi için %10 ödül sunuyor.
Chai, IoTeX'in yeni bir zincir sürümü olan Mainnet v2.3.4'ü piyasaya sürdüğünü ve node operatörlerinin yükseltme yapmaları gerektiğini söyledi. Güncellemeye, zararlı dış olarak sahip hesap (EOA) adreslerinin varsayılan siyah listesi dahildir.
“Bu siyah liste, düğüm tarafından filtrelenecek zararlı veya sorunlu EOA adreslerinin bir listesidir,” dedi Chai.
Teklif, bir compromisli validator sahibi özel anahtarının ioTube köprü sözleşmeleri üzerinde yetkisiz kontrolü sağladığı Şubat 21'deki bir istismardan sonra gelmektedir.
IoTeX, olayın "kontrol altında" olduğunu belirtti ve Layer 1 blok zincirinin etkilenmediğini, sızıntının köprüün Ethereum tarafı altyapısına sınırlı olduğunu söyledi.
IOTX token, istismardan sonra yaklaşık %22 düştü ve $0,0054'ten $0,0042'in altına düşerek kısmen toparlandı.
Çapraz zincir köprüleri, son yıllarda birkaç büyük sızma olayıyla kripto paranın ana başarısızlık noktalarından biri olmuştur. endüstri raporlarına göre, çapraz zincir köprü saldırıları nedeniyle 3,2 milyar doların üzerinde kayıp yaşanmıştır ve bu köprüleri gelişmiş tehdit aktörlerinin öncelikli hedefi haline getirmiştir.
IoTeX, saldırıyı Layer 1 ağındaki bir başarısızlık yerine, köprüye özgü bir operasyonel sorun olarak tanımladı.
“IoTube, IoTeX’in kendi çapraz zincir köprüsüdür ve ekibi tarafından inşa edilip sürdürülmektedir,” dedi ORQO Group CEO’su ve Soil CIO’su Nick Motz, CoinDesk’e. “Sızıntı, Ethereum tarafında compromize edilmiş bir doğrulayıcı sahibi özel anahtarı ile ilgiliydi; bu, dış bir aktör tarafından keşfedilmiş bir akıllı sözleşme zafiyeti değil, temelde bir operasyonel güvenlik hatasıdır.”
Motz, IoTeX’in Layer 1’inin ihlal edilmediğini kabul etti ancak kullanıcı fonlarının özellikle köprüye emanet edildiğini söyledi.
“Köprü altyapısını kurup işlettiğinizde ve anahtar yönetimi başarısız olursa, bu sonucun dışına çıkmak zordur,” dedi.
human.tech'in kurucu ortağı Nanak Nihal Khalsa, kripto para alanında sorumluluk genellikle anahtar korumasına indirgenir dedi.
“Evet, özel anahtara sahip olan, bunu korumakla yükümlüdür,” diye konuştu Khalsa. “Bu makul bir sorumluluk mu? Demek zor. Ama şu anda endüstri böyle çalışıyor.”
Ayrıca, yükümlülük normlarının geleneksel finansla karşılaştırıldığında hâlâ belirsiz kaldığını ve benzer riskleri azaltmak için daha güçlü cüzdan ve çok imzalı yapılar çağrısında bulundu.
Güvenlik firması PeckShield'in zincir üstü analizine göre, 8 milyon doların üzerinde varlık etkilenmiş ve saldırganın fonları ether (ETH) olarak değiştirdikten sonra THORChain aracılığıyla bitcoin BTC$64,622.12'a köprülediği belirtilmiştir.
Şirket, "Hacker, çalınan fonları $ETH'ye değiştirdi ve bunları #Thorchain aracılığıyla #BTC'ye köprülemeye başladı," dedi.
Başka bir zincir içi araştırmacı olan Specter, X üzerinde “@iotex_io'nun özel anahtarının ele geçirilmiş olabileceğini” söyledi ve bu da yaklaşık 4,3 milyon dolarlık bir kayba neden oldu.
“Varlıklar THORChain üzerinden yönlendirildikten sonra [...] kurtarma son derece zor hale gelir,” dedi Motz.
IoTeX, mevcut fiyatlarla yaklaşık 4,3 milyon dolar değerinde 66,78 BTC tutan dört bitcoin adresini tespit ettiğini ve bu adreslerin borsalarla iş birliği içinde izlendiğini söyledi.
CoinDesk'in 23 Şubat'ta bu adresler üzerine yaptığı inceleme, yaklaşık 66,6 BTC tutarında varlığa sahip olduklarını doğruladı.
IoTeX, CoinDesk’in yorum isteğine hemen yanıt vermedi.
“Kontrol, kurtarma ile aynı şey değildir,” diye ekledi. “Gerçek piyasa değerine sahip varlıklar değiştirildi ve köprülendi. Bu varlıkların, benim değerlendirmeme göre, kurtarılması düşük olasılıklıdır.”
Khalsa, kurtarma beklentilerinin belirsiz olduğunu da uyarıda bulundu. “Ne kadarının, eğer herhangi bir miktarın kurtarılacağı tahmin etmek zor,” dedi.
IoTeX, doğrudan varlık kaybını yansıtmak ancak çıkarılan tokenleri dışlamak üzere rakamını yaklaşık 4,3 milyon dolar olarak yukarıya doğru revize etti. Motz, daha geniş tahminlerin ihlalin ciddiyetini daha iyi yansıtabileceğini söyledi.
“Özel anahtarın compromisyonu, akıllı sözleşmelerdeki hataların yerine baskın bir saldırı vektörü haline geliyor,” dedi Motz ve bu olayların denetlenmiş koddan ziyade operasyonel güvenlik hedef aldığını belirtti.
%10 ödül sunmadan önce IoTeX, bir tazminat planının sonraki 48 saat içinde yürürlüğe gireceğini söyledi.