IoTeX đã cung cấp khoản tiền thưởng trắng 10% cho hacker hoặc những hacker đã khai thác khóa riêng trên cầu liên chuỗi ioTube của họ, chuyển đi hàng triệu đô la, đổi lấy việc hoàn trả tự nguyện số tiền trong vòng 48 giờ.
Với động thái này, IoTeX đang cung cấp 440.000 USD nếu tác nhân hoặc các tác nhân độc hại trả lại khoảng 4,4 triệu USD mà họ đã đánh cắp, theo một bài đăng trên IoTeX X, mà đồng sáng lập và CEO của IoTeX, Raullen Chai, đã chỉ ra “là nguồn thông tin đáng tin cậy” vào thứ Hai.
Chai cho biết đội ngũ đã gửi một thông điệp trên chuỗi đề nghị không truy cứu hành động pháp lý hoặc chia sẻ thông tin nhận dạng với cơ quan thực thi pháp luật nếu số tiền còn lại được hoàn trả.
“Đây là về vụ khai thác lỗ hổng cầu ioTube vào ngày 21 tháng 2 năm 2026,” Chai đã nói trong tin nhắn. “Tất cả các chuyển động tiền tệ trên ethereum, IoTeX và bitcoin đều đã được truy vết đầy đủ.”
Thông báo nêu rằng các khoản nạp vào sàn giao dịch đã bị đánh dấu và đóng băng, đồng thời cung cấp phần thưởng 10% cho việc hoàn trả số tiền còn lại.
Chai cũng cho biết IoTeX đang triển khai phiên bản chuỗi mới, Mainnet v2.3.4, yêu cầu các người vận hành nút mạng nâng cấp. Bản cập nhật bao gồm danh sách đen mặc định các địa chỉ tài khoản sở hữu bên ngoài (EOA) độc hại.
“Danh sách đen này chứa danh sách các địa chỉ EOA độc hại hoặc có vấn đề sẽ được bộ lọc nút mạng loại bỏ,” Chai nói.
Ưu đãi này được đưa ra sau vụ khai thác vào ngày 21 tháng Hai, trong đó khóa riêng của chủ sở hữu validator bị xâm phạm cho phép kiểm soát không được phép đối với các hợp đồng cầu của ioTube.
IoTeX cho biết sự cố đang “được kiểm soát”, cho biết blockchain Layer 1 của họ không bị ảnh hưởng và vụ xâm nhập chỉ giới hạn ở cơ sở hạ tầng phía Ethereum của cầu nối.
Token IOTX giảm khoảng 22% sau vụ khai thác lỗ hổng, giảm từ $0,0054 xuống dưới $0,0042 trước khi phục hồi một phần.
Các cầu liên chuỗi đã là một trong điểm yếu chính của lĩnh vực tiền mã hóa, với nhiều vụ khai thác nổi bật trong những năm gần đây. Theo các báo cáo ngành, hơn 3,2 tỷ USD đã bị mất do các vụ tấn công vào cầu liên chuỗi, khiến chúng trở thành mục tiêu hàng đầu của các tác nhân đe dọa nâng cao.
IoTeX mô tả sự khai thác như một vấn đề vận hành cụ thể đối với cầu nối chứ không phải là sự thất bại của mạng Layer 1 của nó.
“IoTube là cầu nối đa chuỗi do chính IoTeX xây dựng và duy trì bởi đội ngũ của họ,” Nick Motz, CEO của ORQO Group và CIO của Soil, cho biết với CoinDesk. “Sự xâm phạm xảy ra do khóa riêng của chủ validator bị xâm phạm trên phía ethereum, đây thực chất là một sự thất bại về bảo mật vận hành, chứ không phải lỗ hổng hợp đồng thông minh do bên ngoài khai thác.”
Motz đồng ý rằng Layer 1 của IoTeX không bị xâm phạm nhưng cho biết tiền của người dùng đã được giao cụ thể cho cầu nối.
“Khi bạn xây dựng và vận hành cơ sở hạ tầng cầu và việc quản lý khóa là điều thất bại, thì rất khó để tách rời bản thân khỏi kết quả đó,” anh ấy nói.
Nanak Nihal Khalsa, đồng sáng lập human.tech, cho biết trách nhiệm trong lĩnh vực tiền mã hóa thường quy về việc quản lý khóa.
“Vâng, bất kỳ ai sở hữu khóa riêng tư đều có trách nhiệm bảo vệ nó,” Khalsa nói. “Đó có phải là một trách nhiệm hợp lý không? Thật khó để nói. Nhưng đó là cách ngành công nghiệp hoạt động hiện nay.”
Anh ấy cho biết các quy định về nghĩa vụ vẫn chưa được xác định rõ so với tài chính truyền thống và kêu gọi tăng cường các thiết lập ví và multisig để giảm thiểu các rủi ro tương tự.
Phân tích trên chuỗi bởi công ty bảo mật PeckShield ước tính hơn 8 triệu USD tài sản đã bị ảnh hưởng, cho biết kẻ tấn công đã chuyển đổi quỹ sang ether (ETH) và bắt đầu chuyển chúng qua bitcoin BTC$64,622.12 thông qua THORChain.
“Hacker đã đổi số tiền bị đánh cắp sang $ETH và bắt đầu chuyển chúng sang #BTC thông qua #Thorchain,” công ty viết.
Một nhà điều tra trên chuỗi khác, Specter, đã nói trên X rằng “khóa riêng của @iotex_io có thể đã bị xâm phạm,” dẫn đến tổn thất ước tính 4,3 triệu USD.
“Một khi tài sản được chuyển qua THORChain […] việc khôi phục trở nên cực kỳ khó khăn,” Motz nói.
IoTeX cho biết đã xác định được bốn địa chỉ bitcoin đang nắm giữ 66,78 BTC tương đương khoảng 4,3 triệu USD theo giá hiện tại và các địa chỉ này đang được theo dõi cùng với sự hợp tác của các sàn giao dịch.
Một bài đánh giá của CoinDesk về các địa chỉ đó vào ngày 23 tháng 2 xác nhận chúng đang nắm giữ khoảng 66,6 BTC.
IoTeX chưa phản hồi ngay lập tức yêu cầu bình luận từ CoinDesk.
“Sự kiểm soát không giống với việc phục hồi,” ông thêm vào. “Các tài sản có giá trị thị trường thực tế đã được hoán đổi và cầu nối. Những tài sản đó, theo đánh giá của tôi, khó có khả năng được phục hồi.”
Khalsa cũng cảnh báo rằng triển vọng thu hồi là không chắc chắn. “Rất khó để dự đoán liệu có thể thu hồi được bao nhiêu, nếu có,” ông nói.
IoTeX đã điều chỉnh con số lên khoảng 4,3 triệu USD, phản ánh sự hao hụt tài sản trực tiếp nhưng không bao gồm các token được đúc. Motz cho biết các ước tính rộng hơn có thể phản ánh chính xác hơn mức độ nghiêm trọng của vụ xâm phạm.
“Việc bị xâm phạm khóa riêng thay vì lỗi hợp đồng thông minh đang nổi lên như một vectơ tấn công chính,” Motz cho biết, lưu ý rằng các sự cố như vậy nhắm vào bảo mật vận hành thay vì mã đã được kiểm toán.
Trước khi cung cấp phần thưởng 10%, IoTeX đã nói rằng một kế hoạch bồi thường sẽ được triển khai trong vòng 48 giờ tới.