IoTeX, une plateforme blockchain axée sur l’infrastructure de l’Internet des objets, a offert une récompense de 10 % en white-hat d’un montant total d’environ 440 000 $ aux hackers responsables de l’exploitation de son pont cross-chain ioTube, sous réserve du retour d’environ 4,4 millions de dollars en actifs volés dans les 48 heures.
L’offre, communiquée via un message sur la blockchain et des déclarations publiques de Raullen Chai, co-fondateur et PDG d’IoTeX, le 23 février 2026, inclut un engagement à ne pas poursuivre d’action en justice ni à partager d’informations d’identification avec les forces de l’ordre si les fonds sont volontairement restitués. L’exploitation du 21 février a été causée par une clé privée compromise d’un propriétaire de validateur sur la partie Ethereum du pont, ce que IoTeX et des analystes en sécurité externes ont qualifié de défaillance en matière de sécurité opérationnelle plutôt que d’une vulnérabilité dans la blockchain Layer 1 ou l’architecture des smart contracts du projet.
Les fonds volés, initialement estimés par des sociétés de sécurité blockchain à plus de 8,8 millions de dollars, ont été tracés par IoTeX sur plusieurs chaînes, le projet identifiant quatre adresses Bitcoin détenant environ 66,6 BTC. IoTeX déploie une mise à jour du réseau principal nécessitant que les opérateurs de nœuds mettent en place une liste noire par défaut des adresses malveillantes, bien que des experts en sécurité avertissent que les actifs déjà échangés et bridgés via des protocoles comme THORChain pourraient être difficiles ou impossibles à récupérer.
Conditions de la récompense et stratégie de communication
L’offre de récompense d’IoTeX suit un modèle établi par des projets crypto antérieurs ayant réussi à négocier avec des hackers via des incitations similaires de 10 % en white-hat. Chai a confirmé à CoinDesk que l’équipe a envoyé un message sur la blockchain à l’attaquant exposant les termes, qui incluent une garantie de ne pas poursuivre d’action légale ou de partager des informations d’identification avec les autorités si les fonds restants sont restitués dans le délai de 48 heures.
« Tous les mouvements de fonds sur Ethereum, IoTeX et Bitcoin ont été entièrement tracés », a déclaré Chai dans le message sur la blockchain. La communication a également indiqué que les dépôts en échange ont été signalés et gelés, limitant la capacité de l’attaquant à liquider les actifs volés via des plateformes centralisées.
Cause technique et défaillance en sécurité opérationnelle
L’exploitation du 21 février a permis un contrôle non autorisé sur les contrats du pont ioTube via une clé privée compromise d’un propriétaire de validateur sur la partie Ethereum de l’infrastructure. Les analystes en sécurité soulignent que cette brèche ne résulte pas d’une vulnérabilité dans un smart contract ou d’une compromission de la blockchain Layer 1 d’IoTeX.
Nick Motz, PDG d’ORQO Group et CIO de Soil, a déclaré à CoinDesk que « la faille provient d’une clé privée compromise d’un propriétaire de validateur sur Ethereum, ce qui est fondamentalement une défaillance en sécurité opérationnelle, et non une vulnérabilité de smart contract découverte par un acteur externe ». Motz a noté que, bien que la Layer 1 d’IoTeX soit restée sécurisée, les fonds des utilisateurs ont été confiés spécifiquement à l’infrastructure du pont que le projet a construite et maintenue.
Nanak Nihal Khalsa, co-fondateur de human.tech, a présenté l’incident en termes de normes de responsabilité dans l’industrie. « Oui, celui qui détient la clé privée en est responsable de sa sécurisation », a-t-il dit. « Est-ce une responsabilité raisonnable ? Difficile à dire. Mais c’est ainsi que fonctionne l’industrie actuellement. » Khalsa a appelé à renforcer les configurations de portefeuilles et de multisignatures pour réduire des risques similaires, notant que les normes de responsabilité restent non résolues par rapport à la finance traditionnelle.
Traçage des actifs, activité de minting et perspectives de récupération
La société de sécurité blockchain PeckShield a initialement estimé les pertes à plus de 8 millions de dollars, rapportant que l’attaquant avait échangé les fonds volés contre de l’éther et commencé à les bridger vers Bitcoin via THORChain. L’enquêteur on-chain Specter a confirmé la compromission, identifiant environ 4,3 millions de dollars drainés directement du coffre-fort de tokens à travers plusieurs actifs, notamment USDC, USDT, IOTX, PAYG, WBTC et BUSD.
Selon l’analyse de Specter, l’attaquant a également exploité les contrats compromis pour créer environ 111 millions de tokens CIOTX, la norme de token cross-chain d’IoTeX conçue pour la liquidité multichaîne, évalués à environ 4 millions de dollars. 9,3 millions de tokens CCS, d’une valeur d’environ 4,5 millions de dollars, ont également été drainés, bien qu’IoTeX ait indiqué que CCS et de nombreux autres tokens ont été dépréciés depuis longtemps et n’ont aucune valeur, et que CIOTX a été en grande partie gelé.
IoTeX a identifié quatre adresses Bitcoin détenant 66,78 BTC d’une valeur d’environ 4,3 millions de dollars au prix actuel, et a déclaré que ces adresses sont surveillées en coopération avec des échanges. Une revue de CoinDesk de ces adresses le 23 février a confirmé qu’elles détenaient environ 66,6 BTC.
Les perspectives de récupération restent incertaines. Motz a averti que « une fois que les actifs sont routés via THORChain… la récupération devient extrêmement difficile », ajoutant que « contenir n’est pas la même chose que récupérer. Les actifs ayant une valeur marchande réelle ont été échangés et bridgés. Selon moi, ils sont peu susceptibles d’être récupérés ». Khalsa a également mis en garde en disant que « il est difficile de prévoir combien, si tant est, pourra être récupéré ».
Réaction du marché et actions du réseau
Le token IOTX a chuté d’environ 9 à 22 % après l’exploitation, passant de 0,0054 $ à moins de 0,0042 $, avant de rebondir partiellement. Le volume de trading a augmenté de plus de 500 % dans l’immédiat.
IoTeX a temporairement suspendu sa blockchain après l’incident, Chai déclarant que la chaîne reprendrait dans 24 à 48 heures après la mise en place de mesures de gel des adresses. Le projet déploie la version Mainnet v2.3.4, nécessitant une mise à jour des opérateurs de nœuds et incluant une liste noire par défaut des adresses malveillantes de comptes externes (EOA) qui seront filtrées par les nœuds.
Chai a indiqué à The Block que des efforts de récupération sont en cours et que les premières estimations suggèrent que la perte potentielle est bien inférieure aux rumeurs circulantes, actuellement estimée à environ 2 millions de dollars. « Nous avons immédiatement informé toutes les plateformes d’échange de geler l’adresse du hacker, ils ne pourront même pas déposer le token », a déclaré Chai.
Connexion à l’exploitation précédente
L’enquêteur on-chain Specter a signalé une piste de financement potentielle reliant le portefeuille de l’attaquant d’IoTeX au hack de 49 millions de dollars de la néobanque de stablecoins Infini en février 2025, l’un des plus importants exploits de l’année dernière. L’équipe d’Infini avait accusé un ancien développeur de contrats, connu sur la blockchain sous le nom de shaneson.eth, de détenir des privilèges administratifs et de vider le coffre-fort de la plateforme.
Chai a déclaré à The Block que « plusieurs éléments de preuve suggèrent qu’il s’agit d’une attaque planifiée qui pourrait avoir été en développement depuis six à dix-huit mois », bien qu’il reste incertain si cela concerne spécifiquement la connexion avec le hacker d’Infini.
Contexte de l’industrie
Cet incident s’ajoute à un schéma persistant de vulnérabilités des ponts cross-chain, qui, selon des rapports de l’industrie, ont entraîné plus de 3,2 milliards de dollars de pertes lors de multiples exploits. Les compromissions de clés privées représentaient 88 % des fonds volés au premier trimestre 2025 et continuent de constituer une menace persistante en 2026, selon Chainalysis, qui a rapporté que le vol de cryptomonnaies a dépassé 3,4 milliards de dollars en 2025.
« La compromission de clés privées plutôt que des bugs dans les smart contracts émerge comme le vecteur d’attaque dominant », a déclaré Motz, soulignant que ces incidents ciblent la sécurité opérationnelle plutôt que du code audité.
IoTeX, fondée en 2017, se positionne comme une plateforme blockchain pour l’IA du monde réel et les réseaux d’infrastructures physiques décentralisées (DePINs). Le projet maintient des partenariats avec Google, Samsung et ARM, et a intégré Polygon’s AggLayer fin 2024.
