IoTeX пропонує 10% винагороду хакерам після експлуатації міжланцюгового мосту на суму 4,4 мільйона доларів

IoTeX, блокчейн-платформа, орієнтована на інфраструктуру Інтернету речей, запропонувала 10% білого хату у вигляді винагороди загальною приблизно 440 000 доларів США хакерам, відповідальним за експлуатацію міжланцюгового мосту ioTube, за умови повернення приблизно 4,4 мільйонів викрадених активів протягом 48 годин.

Пропозиція, повідомлена через смарт-контракт і публічні заяви співзасновника та генерального директора IoTeX Раулена Чая 23 лютого 2026 року, включає зобов’язання не подавати в суд і не розголошувати ідентифікаційну інформацію правоохоронним органам у разі добровільного повернення коштів. Злом 21 лютого стався через компрометацію приватного ключа власника валідатора на стороні Ethereum, що, за оцінками IoTeX та зовнішніх аналітиків безпеки, є операційною помилкою, а не вразливістю у шарі 1 блокчейну або архітектурі смарт-контрактів проекту.

Викрадені кошти, спочатку оцінені блокчейн-компаніями безпеки до 8,8 мільйонів доларів, були простежені IoTeX через кілька ланцюгів, зокрема проект визначив чотири біткойн-адреси, що містять приблизно 66,6 BTC. IoTeX впроваджує оновлення основної мережі, яке вимагає від вузлів встановити чорний список зловмисних адрес, хоча експерти з безпеки застерігають, що активи, вже обміняні та переміщені через протоколи, такі як THORChain, можуть бути важко або неможливо повернути.

Умови винагороди та стратегія комунікації

Пропозиція IoTeX слідує за моделлю, встановленою попередніми криптопроектами, які успішно домовлялися з хакерами через подібні 10% білого хату. Чай підтвердив CoinDesk, що команда надіслала смарт-контрактом повідомлення з умовами, зокрема гарантією не подавати в суд і не розголошувати ідентифікаційну інформацію правоохоронним органам у разі повернення залишку коштів протягом 48 годин.

“Всі переміщення коштів через Ethereum, IoTeX і біткойн були повністю простежені,” — заявив Чай у смарт-контракті. У повідомленні також зазначалося, що депозити на біржах були позначені та заморожені, що обмежує можливість зловмисника ліквідувати викрадені активи через централізовані платформи.

Технічна причина та операційна помилка безпеки

Злом 21 лютого дозволив несанкціонований контроль над контрактами мосту ioTube через компрометацію приватного ключа власника валідатора на стороні Ethereum. Аналітики безпеки підкреслюють, що цей інцидент не був викликаний вразливістю смарт-контракту або компрометацією Layer 1 блокчейну IoTeX.

Нік Моц, генеральний директор ORQO Group і технічний директор Soil, повідомив CoinDesk, що “злом зумовлений компрометацією приватного ключа валідатора на стороні Ethereum, що є операційною помилкою, а не вразливістю смарт-контракту, виявленою зовнішнім актором.” Моц зазначив, що хоча Layer 1 IoTeX залишився безпечним, кошти користувачів були довірені саме інфраструктурі мосту, яку проект створив і підтримував.

Нанак Нігал Халса, співзасновник human.tech, охарактеризував інцидент у контексті галузевих норм відповідальності. “Так, той, хто володіє приватним ключем, несе відповідальність за його захист,” — сказав Халса. “Чи є це розумною відповідальністю? Важко сказати. Але саме так працює індустрія зараз.” Халса закликав до посилення безпеки гаманців і мульти-підписних схем, щоб зменшити подібні ризики, зазначаючи, що норми відповідальності ще не визначені порівняно з традиційними фінансами.

Простеження активів, діяльність з емісії та перспективи відновлення

Компанія з безпеки блокчейнів PeckShield спочатку оцінила збитки понад 8 мільйонів доларів, повідомивши, що зловмисник обміняв викрадені кошти на ETH і почав переміщати їх через THORChain до біткойна. Інвестигатор на блокчейні Specter підтвердив компрометацію, визначивши, що близько 4,3 мільйонів доларів було виведено безпосередньо з сейфа токенів через кілька активів, включаючи USDC, USDT, IOTX, PAYG, WBTC і BUSD.

За аналізом Specter, зловмисник також використав компрометовані контракти для емісії приблизно 111 мільйонів токенів CIOTX, стандарту міжланцюгових токенів IoTeX для мультиланцюгової ліквідності, оцінюваного приблизно у 4 мільйони доларів. Ще 9,3 мільйонів токенів CCS, оцінюваних приблизно у 4,5 мільйони доларів, також було виведено, хоча IoTeX заявив, що CCS та багато інших токенів давно застаріли і не мають цінності, а CIOTX здебільшого заморожено.

IoTeX визначив чотири біткойн-адреси, що містять 66,78 BTC, приблизно на 4,3 мільйони доларів за поточним курсом, і заявив, що ці адреси контролюються у співпраці з біржами. Огляд CoinDesk цих адрес 23 лютого підтвердив, що вони містили приблизно 66,6 BTC.

Перспективи відновлення залишаються невизначеними. Моц попередив, що “якщо активи вже пройшли через THORChain… відновлення стане надзвичайно складним,” додавши, що “зміст — це не те саме, що відновлення. Активи з реальною ринковою вартістю були обміняні та переміщені. За моїм оцінюванням, їх навряд чи вдасться повернути.” Халса також застеріг, що “важко передбачити, скільки, якщо взагалі щось, можна повернути.”

Реакція ринку та дії мережі

Після злома токен IOTX знизився приблизно на 9-22%, з 0,0054 долара до менше ніж 0,0042 долара, частково відновившись. Обсяг торгівлі зріс більш ніж на 500% у перші години.

IoTeX тимчасово зупинила свою блокчейн-мережу, Чай заявив, що вона відновиться протягом 24-48 годин після впровадження заходів із замороження адрес. Проект випускає оновлення Mainnet v2.3.4, яке вимагає від вузлів оновлення та включає чорний список зловмисних зовнішніх акаунтів (EOA), що буде фільтруватися вузлами.

Чай повідомив The Block, що зусилля з відновлення тривають, і початкові оцінки свідчать, що потенційна втрата значно нижча за поширені чутки, і наразі оцінюється приблизно у 2 мільйони доларів. “Ми негайно повідомили всі біржі про замороження адреси хакера, вони не зможуть навіть внести цей токен,” — сказав Чай.

Пов’язання з попереднім зломом

Інвестигатор на блокчейні Specter вказав на можливий слід фінансування, що з’єднує гаманець зловмисника IoTeX із зломом стабількона-необанк Infini на суму 49 мільйонів доларів у лютому 2025 року, одного з найбільших зломів минулого року. Команда Infini звинуватила колишнього розробника контрактів, відомого як shaneson.eth, у збереженні адміністративних привілеїв і витоку коштів із сейфа платформи.

Чай повідомив The Block, що “у нас є кілька доказів, які свідчать, що це спланована атака, яка могла розвиватися вже від шести до вісімнадцяти місяців,” хоча залишаються невизначеними питання щодо конкретного зв’язку з потенційним зломом Infini.

Контекст галузі

Цей інцидент додає до тривалого тренду вразливостей міжланцюгових мостів, за даними галузевих звітів, що призвели до втрат понад 3,2 мільярда доларів унаслідок кількох зломів. Компрометація приватних ключів становила 88% викрадених коштів у першому кварталі 2025 року і залишалася серйозною загрозою у 2026, за даними Chainalysis, яка повідомила, що крадіжки криптовалют у 2025 році перевищили 3,4 мільярда доларів.

“Компрометація приватних ключів, а не помилки у смарт-контрактах, стає домінуючим вектором атак,” — сказав Моц, зазначаючи, що такі інциденти спрямовані на операційну безпеку, а не на аудитований код.

IoTeX, заснована у 2017 році, позиціонує себе як платформа для реального застосування штучного інтелекту та децентралізованих фізичних інфраструктурних мереж (DePINs). Проект має партнерства з Google, Samsung і ARM, а наприкінці 2024 року інтегрувався з Polygon через AggLayer.