IoTeX запропонувала 10% білого хати-відшкодування хакеру або хакерам, які використали приватний ключ на її міжланцюговому мості ioTube, вивівши мільйони доларів, за добровільне повернення коштів протягом 48 годин.
З цим кроком IoTeX пропонує $440 000, якщо зловмисник або зловмисники повернуть близько $4,4 мільйона, які вони вкрали, згідно з постом IoTeX у X, на який співзасновник і генеральний директор IoTeX Рауллен Чай посилався як на «джерело істини» у понеділок.
Чай сказав CoinDesk, що команда надіслала повідомлення в блокчейні, пропонуючи не вживати правових заходів або не передавати ідентифікуючу інформацію правоохоронним органам, якщо залишкові кошти будуть повернені.
«Це стосується експлойту моста ioTube 21 лютого 2026 року», — сказав Чай у повідомленні. «Всі рухи коштів через Ethereum, IoTeX та bitcoin повністю відстежені.»
Повідомлення стверджує, що депозити біржі були позначені та заморожені, і пропонує винагороду в розмірі 10% за повернення залишків коштів.
Чай також сказав, що IoTeX запускає нову версію ланцюга — Mainnet v2.3.4, що вимагає від операторів нод оновлення. Оновлення включає стандартний чорний список зловмисних адрес зовнішніх облікових записів (EOA).
«Цей чорний список містить список зловмисних або проблемних адрес EOA, які будуть фільтруватися нодою», — сказав Чай.
Пропозиція з’явилася після витоку 21 лютого, коли скомпрометований приватний ключ власника валідатора дозволив неавторизований доступ до контрактів моста ioTube.
IoTeX заявила, що інцидент «під контролем», сказавши, що її блокчейн рівня 1 не був вплинутий, а порушення обмежилося інфраструктурою моста з боку ethereum.
Токен IOTX впав приблизно на 22% після експлуатації, знизившись з $0,0054 до нижче $0,0042, перед тим як частково відновився.
Мості між блокчейнами були одними з основних точок відмови у криптовалюті, з кількома відомими випадками взлому за останні роки. За даними звітів індустрії, через хакерські атаки на мости між блокчейнами було втрачено більше $3,2 мільярда, що робить їх головною метою для просунутих загроз.
IoTeX представив експлойт як операційну проблему, властиву саме мосту, а не невдачу мережі Layer 1.
«IoTube — це власний міжланцюговий міст IoTeX, створений та підтримуваний їхньою командою», — сказав Нік Мотц, генеральний директор ORQO Group та головний інвестиційний офіцер Soil, CoinDesk. «Порушення виникло через скомпрометований приватний ключ власника валідатора з боку ethereum, що є фундаментальною невдачею в операційній безпеці, а не вразливістю смартконтракту, виявленою зовнішнім учасником».
Мотц погодився, що Layer 1 IoTeX не було скомпрометовано, але сказав, що кошти користувачів були довірені саме мосту.
«Коли ви будуєте та експлуатуєте інфраструктуру моста, і саме керування ключами є причиною невдачі, важко відокремити себе від такого результату», — сказав він.
Нанак Ніхал Халса, співзасновник human.tech, сказав, що відповідальність у криптовалюті часто зводиться до зберігання ключів.
«Так, хто має приватний ключ, відповідає за його безпеку», — сказав Халса. «Чи це розумна відповідальність? Важко сказати. Але саме так працює індустрія зараз.»
Він додав, що норми відповідальності залишаються невизначеними порівняно з традиційним фінансом, і закликав до вдосконалення гаманців та багатопідписових схем для зменшення подібних ризиків.
На-ланч-аналіз від компанії з безпеки PeckShield оцінив, що було вплинуто на активи на суму більше ніж 8 мільйонів доларів США, сказавши, що нападник обміняв кошти на ефір (ETH) і почав переносити їх на bitcoin BTC$64,622.12 через THORChain.
«Хакер обміняв вкрадені кошти на $ETH і почав переносити їх на #BTC через #Thorchain», — написала фірма.
Ще один ончейн-дослідник, Specter, сказав у X, що «приватний ключ @iotex_io може бути скомпрометований», що призвело до втрат на суму близько 4,3 мільйона доларів США.
«Одразу ж як активи пройдуть через THORChain […] відновлення стає надзвичайно складним», — сказав Мотц.
IoTeX сказала вона виявила чотири bitcoin-адреси, на яких зберігається 66,78 BTC на суму близько $4,3 мільйона за поточних цін, і що ці адреси перебувають під наглядом у співпраці з біржами.
Огляд адрес CoinDesk від 23 лютого підтвердив, що вони містили приблизно 66,6 BTC.
IoTeX не відповів негайно на запит CoinDesk з приводу коментаря.
«Затримка — це не те саме, що відновлення», — додав він. «Активи з реальною ринковою вартістю були обміняні та з’єднані мостом. За моєю оцінкою, їх малоймовірно вдасться відновити.»
Халса також попередив, що перспективи відновлення невизначені. «Важко передбачити, скільки, якщо взагалі щось, можна відновити», — сказав він.
IoTeX переглянула свою цифру вище до приблизно $4,3 мільйона, що відображає пряме зменшення активів, але виключає випущені токени. Мотц сказав, що більш широкі оцінки можуть краще відобразити серйозність порушення.
«Компрометація приватного ключа, а не помилки смартконтрактів, стає домінуючим вектором атак», — сказав Мотц, зазначивши, що такі інциденти спрямовані на операційну безпеку, а не на перевірений код.
Перед наданням винагороди в розмірі 10% IoTeX сказав, що план компенсації буде введений протягом наступних 48 годин.