IoTeX Menawarkan Bounty 10% kepada Peretas Setelah Eksploitasi Jembatan Cross-Chain sebesar $4.4 Juta
IoTeX, platform blockchain yang fokus pada infrastruktur Internet-of-Things, menawarkan bounty putih-hat sebesar 10% dengan total sekitar $440.000 kepada peretas yang bertanggung jawab atas eksploitasi jembatan lintas rantai ioTube, dengan syarat pengembalian sekitar $4,4 juta aset yang dicuri dalam waktu 48 jam.
Penawaran ini, disampaikan melalui pesan di blockchain dan pernyataan publik oleh Co-founder dan CEO IoTeX Raullen Chai pada 23 Februari 2026, mencakup komitmen untuk tidak menempuh tindakan hukum atau berbagi informasi identitas dengan penegak hukum jika dana dikembalikan secara sukarela. Eksploitasi pada 21 Februari berasal dari kunci pribadi validator yang dikompromikan di sisi Ethereum dari jembatan, yang menurut IoTeX dan analis keamanan eksternal merupakan kegagalan keamanan operasional, bukan kerentanan dalam blockchain Layer 1 atau arsitektur smart contract proyek.
Dana yang dicuri, awalnya diperkirakan oleh perusahaan keamanan blockchain mencapai $8,8 juta, telah dilacak oleh IoTeX di berbagai rantai, dengan proyek mengidentifikasi empat alamat bitcoin yang menyimpan sekitar 66,6 BTC. IoTeX sedang meluncurkan upgrade mainnet yang mengharuskan operator node untuk menerapkan daftar hitam default terhadap alamat berbahaya, meskipun para ahli keamanan memperingatkan bahwa aset yang sudah dipertukarkan dan dijembatani melalui protokol seperti THORChain mungkin sulit atau tidak mungkin dipulihkan.
Ketentuan Bounty dan Strategi Komunikasi
Penawaran bounty IoTeX mengikuti pola yang telah ditetapkan oleh proyek kripto sebelumnya yang berhasil bernegosiasi dengan peretas melalui insentif putih-hat 10% serupa. Chai mengonfirmasi kepada CoinDesk bahwa tim mengirim pesan di blockchain kepada pelaku serangan yang merinci syarat-syaratnya, termasuk jaminan untuk tidak menempuh tindakan hukum atau berbagi informasi identitas dengan penegak hukum jika dana yang tersisa dikembalikan dalam waktu 48 jam.
“Semua pergerakan dana di Ethereum, IoTeX, dan bitcoin telah dilacak sepenuhnya,” kata Chai dalam pesan di blockchain. Komunikasi tersebut juga menyebutkan bahwa deposit di bursa telah ditandai dan dibekukan, membatasi kemampuan pelaku serangan untuk melikuidasi aset yang dicuri melalui platform terpusat.
Penyebab Teknis dan Kegagalan Keamanan Operasional
Eksploitasi pada 21 Februari memungkinkan kontrol tidak sah atas kontrak jembatan ioTube melalui kunci pribadi validator yang dikompromikan di sisi Ethereum dari infrastruktur. Analis keamanan menegaskan bahwa pelanggaran ini tidak disebabkan oleh kerentanan smart contract atau kompromi terhadap blockchain Layer 1 IoTeX.
Nick Motz, CEO ORQO Group dan CIO Soil, mengatakan kepada CoinDesk bahwa “pelanggaran ini disebabkan oleh kunci pribadi validator yang dikompromikan di sisi Ethereum, yang secara mendasar adalah kegagalan keamanan operasional, bukan kerentanan smart contract yang ditemukan oleh pihak luar.” Motz menambahkan bahwa meskipun Layer 1 IoTeX tetap aman, dana pengguna secara khusus dipercayakan kepada infrastruktur jembatan yang dibangun dan dipelihara proyek.
Nanak Nihal Khalsa, co-founder human.tech, menyatakan bahwa insiden ini mencerminkan norma tanggung jawab industri secara umum. “Ya, siapa pun yang memegang kunci pribadi bertanggung jawab untuk mengamankannya,” kata Khalsa. “Apakah itu tanggung jawab yang masuk akal? Sulit untuk mengatakan. Tapi begitulah cara industri bekerja saat ini.” Khalsa menyerukan penguatan pengaturan wallet dan multisig untuk mengurangi risiko serupa, dengan mencatat bahwa norma tanggung jawab masih belum pasti dibandingkan keuangan tradisional.
Pelacakan Aset, Aktivitas Pembuatan Token, dan Prospek Pemulihan
Perusahaan keamanan blockchain PeckShield awalnya memperkirakan kerugian lebih dari $8 juta, melaporkan bahwa pelaku serangan menukar dana yang dicuri ke ether dan mulai menjembatani ke bitcoin melalui THORChain. Penyelidik blockchain Specter mengonfirmasi kompromi tersebut, mengidentifikasi sekitar $4,3 juta yang langsung diambil dari vault token melalui berbagai aset termasuk USDC, USDT, IOTX, PAYG, WBTC, dan BUSD.
Menurut analisis Specter, pelaku juga memanfaatkan kontrak yang dikompromikan untuk mencetak sekitar 111 juta token CIOTX, standar token lintas rantai IoTeX yang dirancang untuk likuiditas multichain, diperkirakan bernilai sekitar $4 juta. Sebanyak 9,3 juta token CCS, bernilai sekitar $4,5 juta, juga diambil, meskipun IoTeX menyatakan bahwa CCS dan banyak token lain sudah dihentikan lama dan tidak memiliki nilai, serta CIOTX sebagian besar telah dibekukan.
IoTeX mengidentifikasi empat alamat bitcoin yang menyimpan 66,78 BTC senilai sekitar $4,3 juta berdasarkan harga saat ini dan menyatakan bahwa alamat tersebut sedang dipantau bekerja sama dengan bursa. Tinjauan CoinDesk terhadap alamat tersebut pada 23 Februari mengonfirmasi bahwa mereka memegang sekitar 66,6 BTC.
Prospek pemulihan tetap tidak pasti. Motz memperingatkan bahwa “begitu aset dialihkan melalui THORChain… pemulihan menjadi sangat sulit,” dan menambahkan bahwa “penahanan bukanlah hal yang sama dengan pemulihan. Aset yang memiliki nilai pasar sebenarnya telah dipertukarkan dan dijembatani. Menurut penilaian saya, kemungkinan besar tidak akan dipulihkan.” Khalsa juga memperingatkan bahwa “sulit untuk memprediksi berapa banyak, jika ada, yang dapat dipulihkan.”
Respon Pasar dan Tindakan Jaringan
Token IOTX turun sekitar 9-22% setelah kejadian tersebut, dari $0,0054 ke di bawah $0,0042 sebelum pulih sebagian. Volume perdagangan melonjak lebih dari 500% segera setelahnya.
IoTeX sementara menghentikan blockchain-nya setelah insiden, dengan Chai menyatakan bahwa rantai akan dilanjutkan dalam 24-48 jam setelah menerapkan langkah pembekuan alamat. Proyek ini meluncurkan Mainnet v2.3.4, yang mengharuskan operator node untuk melakukan upgrade dan menyertakan daftar hitam default terhadap alamat EOA berbahaya yang akan difilter oleh node.
Chai mengatakan kepada The Block bahwa upaya pemulihan sedang berlangsung dan perkiraan awal menunjukkan kerugian potensial jauh lebih rendah dari rumor yang beredar, saat ini diperkirakan sekitar $2 juta. “Kami segera memberi tahu semua bursa untuk membekukan alamat peretas, mereka bahkan tidak akan bisa melakukan deposit token,” kata Chai.
Kaitan dengan Eksploitasi Sebelumnya
Penyelidik blockchain Specter menandai kemungkinan jejak pendanaan yang menghubungkan dompet pelaku serangan IoTeX dengan peretasan stablecoin neobank Infini senilai $49 juta pada Februari 2025, salah satu eksploitasi terbesar tahun lalu. Tim Infini menuduh mantan pengembang kontrak, yang dikenal secara on-chain sebagai shaneson.eth, memiliki hak administratif dan menguras vault platform.
Chai mengatakan kepada The Block bahwa “kami memiliki beberapa bukti yang menunjukkan bahwa ini adalah serangan yang direncanakan dan mungkin sudah berkembang selama enam sampai delapan belas bulan,” meskipun belum jelas apakah ini secara khusus merujuk pada kaitan hacker Infini.
Konteks Industri
Insiden ini menambah pola yang berkelanjutan dari kerentanan jembatan lintas rantai, yang menurut laporan industri telah menyebabkan kerugian lebih dari $3,2 miliar dari berbagai eksploitasi. Kompromi kunci pribadi menyumbang 88% dari dana yang dicuri pada Q1 2025 dan terus menjadi ancaman yang persistens hingga 2026, menurut Chainalysis, yang melaporkan bahwa pencurian kripto mencapai lebih dari $3,4 miliar pada 2025.
“Komplikasi kunci pribadi daripada bug smart contract muncul sebagai vektor serangan utama,” kata Motz, menambahkan bahwa insiden semacam ini menargetkan keamanan operasional daripada kode yang telah diaudit.
IoTeX, didirikan pada 2017, memposisikan dirinya sebagai platform blockchain untuk AI dunia nyata dan jaringan infrastruktur fisik terdesentralisasi (DePINs). Proyek ini menjalin kemitraan dengan Google, Samsung, dan ARM, serta terintegrasi dengan Polygon’s AggLayer pada akhir 2024.