A IoTeX ofereceu uma recompensa de chapéu branco de 10% ao hacker ou hackers que exploraram uma chave privada em sua ponte cross-chain ioTube, desviando milhões de dólares, em troca do retorno voluntário dos fundos dentro de 48 horas.
Com esta medida, a IoTeX está oferecendo US$ 440.000 se o ator ou atores maliciosos devolverem cerca de US$ 4,4 milhões que roubaram, de acordo com um post da IoTeX X, ao qual o cofundador e CEO da IoTeX, Raullen Chai, apontou “como uma fonte da verdade” na segunda-feira.
Chai disse ao CoinDesk que a equipe enviou uma mensagem on-chain oferecendo não prosseguir com ações legais ou compartilhar informações de identificação com as autoridades se os fundos restantes forem devolvidos.
“Isso se refere à exploração da ponte ioTube em 21 de fevereiro de 2026”, disse Chai na mensagem. “Todos os movimentos de fundos em Ethereum, IoTeX e Bitcoin foram totalmente rastreados.”
A mensagem afirma que os depósitos cambiais foram sinalizados e congelados e oferece uma recompensa de 10% pela devolução dos fundos restantes.
Chai também disse que a IoTeX está lançando uma nova versão da cadeia, Mainnet v2.3.4, exigindo que os operadores de nós atualizem. A atualização inclui uma lista negra padrão de endereços de contas de propriedade externa (EOA) maliciosas.
“Esta lista negra contém uma lista de endereços EOA maliciosos ou problemáticos que serão filtrados pelo nó”, disse Chai.
A oferta ocorre após uma exploração em 21 de fevereiro, na qual uma chave privada comprometida do proprietário do validador permitiu o controle não autorizado dos contratos-ponte do ioTube.
A IoTeX disse que o incidente está “sob controle”, dizendo que seu blockchain da Camada 1 não foi afetado e que a violação foi isolada na infraestrutura da ponte no lado Ethereum.
O token IOTX caiu cerca de 22% após a exploração, caindo de US$ 0,0054 para menos de US$ 0,0042 antes de se recuperar parcialmente.
As pontes entre cadeias têm sido um dos principais pontos de falha da criptografia, com várias explorações de alto perfil nos últimos anos. De acordo com relatórios da indústria, mais de US$ 3,2 bilhões foram perdidos devido a hacks de pontes entre cadeias, tornando-os um alvo principal para agentes de ameaças avançados.
Responsabilidade e controle chave
A IoTeX enquadrou a exploração como um problema operacional específico da ponte, e não como uma falha de sua rede de Camada 1.
“IoTube é a ponte cross-chain da própria IoTeX, construída e mantida por sua equipe”, disse Nick Motz, CEO do Grupo ORQO e CIO da Soil, à CoinDesk. “A violação se resumiu a uma chave privada comprometida do proprietário do validador no lado Ethereum, que é fundamentalmente uma falha de segurança operacional, não uma vulnerabilidade de contrato inteligente descoberta por um ator externo.”
Motz concordou que a Camada 1 da IoTeX não foi comprometida, mas disse que os fundos dos usuários foram confiados especificamente à ponte.
“Quando você constrói e opera a infraestrutura da ponte e o gerenciamento principal é o que falha, é difícil se separar desse resultado”, disse ele.
Nanak Nihal Khalsa, cofundador da human.tech, disse que a responsabilidade na criptografia geralmente se resume à custódia das chaves.
“Sim, quem detém a chave privada é responsável por protegê-la”, disse Khalsa. “Essa é uma responsabilidade razoável? É difícil dizer. Mas é assim que a indústria funciona agora.”
Ele acrescentou que as normas de responsabilidade permanecem indefinidas em comparação com as finanças tradicionais e pediu configurações mais fortes de carteira e multisig para reduzir riscos semelhantes.
As estimativas divergem
A análise on-chain da empresa de segurança PeckShield estimou que mais de US$ 8 milhões em ativos foram afetados, dizendo que o invasor trocou fundos por Ether (ETH) e começou a conectá-los ao Bitcoin. através da THORChain.
“O hacker trocou os fundos roubados por $ETH e começou a conectá-los ao #BTC via #Thorchain”, escreveu a empresa.
Outro investigador onchain, Spectre, disse no X que “a chave privada de @iotex_io pode ter sido comprometida”, resultando em uma perda estimada de US$ 4,3 milhões.
“Uma vez que os ativos são roteados através do THORChain (…) a recuperação se torna extremamente difícil”, disse Motz.
A IoTeX disse que identificou quatro endereços de bitcoin contendo 66,78 BTC no valor de cerca de US$ 4,3 milhões a preços atuais e que os endereços estão sendo monitorados em cooperação com exchanges.
Uma análise da CoinDesk desses endereços em 23 de fevereiro confirmou que eles detinham cerca de 66,6 BTC.
A IoTeX não respondeu imediatamente ao pedido de comentários da CoinDesk.
“Contenção não é o mesmo que recuperação”, acrescentou. “Os ativos com valor real de mercado foram trocados e transferidos. Esses são, na minha avaliação, improváveis de serem recuperados.”
Khalsa advertiu da mesma forma que as perspectivas de recuperação são incertas. “É difícil prever quanto, se houver, pode ser recuperado”, disse ele.
A IoTeX revisou seu valor para aproximadamente US$ 4,3 milhões, refletindo a drenagem direta de ativos, mas excluindo os tokens cunhados. Motz disse que estimativas mais amplas podem capturar melhor a gravidade da violação.
“O comprometimento de chaves privadas, em vez de bugs de contratos inteligentes, está emergindo como um vetor de ataque dominante”, disse Motz, observando que tais incidentes visam a segurança operacional e não o código auditado.
Antes de oferecer a recompensa de 10%, a IoTeX disse que um plano de compensação estaria em vigor nas próximas 48 horas.
Fontecoindesk
