coindesk.com
IoTeX bot eine 10%ige White-Hat-Prämie für den Hacker oder die Hacker aus, die einen privaten Schlüssel seiner Cross-Chain-Brücke ioTube ausnutzten und dabei Millionen von Dollar abzweigten, im Austausch für die freiwillige Rückgabe der Mittel innerhalb von 48 Stunden.
Mit diesem Schritt bietet IoTeX 440.000 $ an, falls die böswillige Person oder Personen etwa 4,4 Millionen $ zurückgeben, die sie gestohlen haben, gemäß einem IoTeX X Beitrag, auf die der Mitbegründer und CEO von IoTeX, Raullen Chai, am Montag als „Quelle der Wahrheit“ verwies.
Chai teilte CoinDesk mit, dass das Team eine On-Chain-Nachricht gesendet hat, in der angeboten wird, auf rechtliche Schritte zu verzichten und keine identifizierenden Informationen an die Strafverfolgungsbehörden weiterzugeben, sofern die verbleibenden Mittel zurückerstattet werden.
„Dies betrifft die ioTube-Brücken-Exploit am 21. Februar 2026,“ Chai in der Nachricht gesagt. „Alle Fondsbewegungen über Ethereum, IoTeX und Bitcoin wurden vollständig nachverfolgt.“
Die Nachricht besagt, dass Börseneinzahlungen markiert und eingefroren wurden und bietet eine Prämie von 10 % für die Rückgabe der verbleibenden Mittel an.
Chai erklärte außerdem, dass IoTeX eine neue Chain-Version, Mainnet v2.3.4, einführt, die von Node-Betreibern ein Upgrade erfordert. Das Update beinhaltet eine standardmäßige schwarze Liste böswilliger, extern verwalteter Kontoadressen (EOA).
„Diese schwarze Liste enthält eine Liste von böswilligen oder problematischen EOA-Adressen, die vom Node herausgefiltert werden,“ sagte Chai.
Das Angebot erfolgt nach einem Exploit am 21. Februar, bei dem ein kompromittierter Private Key eines Validator-Besitzers unbefugte Kontrolle über die Bridge-Verträge von ioTube ermöglichte.
IoTeX erklärte, dass der Vorfall „unter Kontrolle“ sei und dass seine Layer-1-Blockchain nicht betroffen sei, wobei der Sicherheitsvorfall auf die Ethereum-seitige Infrastruktur der Brücke beschränkt war.
Der IOTX-Token fiel nach dem Exploit um etwa 22 % und sank von 0,0054 $ auf unter 0,0042 $, bevor er sich teilweise erholte.
Cross-Chain-Brücken waren eine der bedeutendsten Entwicklungen im Kryptobereich Hauptausfallstellen, mit mehreren hochkarätigen Sicherheitsverletzungen in den letzten Jahren. Laut Branchenberichte, mehr als 3,2 Milliarden US-Dollar wurden durch Hacks von Cross-Chain-Bridges verloren, was sie zu einem bevorzugten Ziel für hochentwickelte Bedrohungsakteure macht.
Verantwortung und zentrale Steuerung
IoTeX stellte den Exploit als ein operatives Problem dar, das spezifisch für die Brücke ist, und nicht als einen Ausfall seines Layer-1-Netzwerks.
„IoTube ist die eigene Cross-Chain-Brücke von IoTeX, die von ihrem Team entwickelt und gewartet wird“, sagte Nick Motz, CEO der ORQO Group und CIO von Soil, gegenüber CoinDesk. „Der Vorfall beruhte auf einem kompromittierten privaten Schlüssel eines Validator-Eigentümers auf der Ethereum-Seite, was im Grunde ein operatives Sicherheitsversagen und keine von einem externen Akteur entdeckte Schwachstelle im Smart Contract darstellt.“
Motz stimmte zu, dass IoTeX’ Layer 1 nicht kompromittiert wurde, erklärte jedoch, dass die Benutzerfonds speziell der Brücke anvertraut wurden.
„Wenn Sie die Brückeninfrastruktur aufbauen und betreiben und das Schlüsselmanagement versagt, ist es schwierig, sich von diesem Ergebnis zu distanzieren“, sagte er.
Nanak Nihal Khalsa, Mitbegründer von human.tech, sagte, dass Verantwortung im Krypto-Bereich häufig auf die Verwahrung von Schlüsseln hinausläuft.
„Ja, wer den privaten Schlüssel besitzt, ist für dessen Sicherung verantwortlich“, sagte Khalsa. „Ist das eine angemessene Verantwortung? Das ist schwer zu sagen. Aber so funktioniert die Branche derzeit.“
Er fügte hinzu, dass die Haftungsnormen im Vergleich zur traditionellen Finanzwelt weiterhin ungeklärt seien, und forderte stärkere Wallet- und Multisig-Lösungen, um ähnliche Risiken zu minimieren.
Die Schätzungen gehen auseinander
On-Chain-Analyse des Sicherheitsunternehmens PeckShield schätzte mehrEs wurden Vermögenswerte im Wert von mehr als 8 Millionen US-Dollar betroffen, wobei der Angreifer die Mittel in Ether ($ETH) umtauschte und begann, diese über THORChain in Bitcoin $BTC$64.694,64 zu transferieren.
„Der Hacker hat die gestohlenen Mittel in $ETH getauscht und beginnt, diese über #Thorchain zu #$BTC zu übertragen“, schrieb das Unternehmen.
Ein weiterer Onchain-Ermittler, Specter, sagte auf X dass „der private Schlüssel von @iotex_io möglicherweise kompromittiert wurde“, was zu einem geschätzten Verlust von 4,3 Millionen Dollar führte.
„Sobald Vermögenswerte über THORChain geleitet werden […] wird die Wiederherstellung äußerst schwierig“, sagte Motz.
IoTeX erklärte es hat vier Bitcoin-Adressen identifiziert hält 66,78 $BTC im Wert von ungefähr 4,3 Millionen US-Dollar zu den aktuellen Preisen, wobei die Adressen in Zusammenarbeit mit den Börsen überwacht werden.
Eine Überprüfung dieser Adressen durch CoinDesk am 23. Februar bestätigte, dass sie etwa 66,6 $BTC hielten.
IoTeX hat auf die Anfrage von CoinDesk um einen Kommentar nicht umgehend reagiert.
„Eindämmung ist nicht dasselbe wie Erholung“, fügte er hinzu. „Die Vermögenswerte mit tatsächlichem Marktwert wurden getauscht und über Brücken transferiert. Diese werden nach meiner Einschätzung kaum wiederhergestellt werden.“
Khalsa warnte ähnlich, dass die Aussichten auf eine Rückgewinnung unsicher seien. „Es ist schwer vorherzusagen, wie viel, falls überhaupt etwas, zurückgeholt werden kann“, sagte er.
IoTeX hat seine Zahl auf etwa 4,3 Millionen US-Dollar nach oben korrigiert, was den direkten Vermögensabfluss widerspiegelt, jedoch ohne die geprägten Token. Motz erklärte, umfassendere Schätzungen könnten das Ausmaß des Vorfalls besser erfassen.
„Die Kompromittierung privater Schlüssel anstelle von Fehlern in Smart Contracts entwickelt sich laut Motz zu einem dominanten Angriffsvektor“, wobei er darauf hinwies, dass solche Vorfälle die operative Sicherheit und nicht den geprüften Code ins Visier nehmen.
Bevor die 10% Prämie angeboten wurde, IoTeX sagte einen Vergütungsplan würde innerhalb der nächsten 48 Stunden in Kraft treten.