IoTeX, một nền tảng blockchain tập trung vào hạ tầng Internet-of-Things, đã đề xuất một phần thưởng trắng-hat trị giá 10% tổng cộng khoảng 440.000 USD cho các hacker chịu trách nhiệm khai thác lỗ hổng của cầu nối chéo ioTube, với điều kiện trả lại khoảng 4,4 triệu USD tài sản bị đánh cắp trong vòng 48 giờ.
Lời đề nghị, được truyền đạt qua tin nhắn trên chuỗi và các tuyên bố công khai của đồng sáng lập kiêm CEO IoTeX Raullen Chai vào ngày 23 tháng 2 năm 2026, bao gồm cam kết không theo đuổi hành động pháp lý hoặc chia sẻ thông tin nhận dạng với cơ quan thực thi pháp luật nếu số tiền được trả lại tự nguyện. Vụ khai thác ngày 21 tháng 2 bắt nguồn từ một khoá riêng của chủ validator bị xâm phạm trên phía Ethereum của cầu nối, mà IoTeX và các nhà phân tích an ninh bên ngoài đã mô tả là một thất bại về an ninh vận hành chứ không phải là lỗ hổng trong blockchain Layer 1 hoặc kiến trúc hợp đồng thông minh của dự án.
Số tiền bị đánh cắp, ban đầu ước tính bởi các công ty an ninh blockchain lên tới 8,8 triệu USD, đã được IoTeX truy vết qua nhiều chuỗi, với dự án xác định bốn địa chỉ bitcoin giữ khoảng 66,6 BTC. IoTeX đang triển khai nâng cấp mainnet yêu cầu các nhà vận hành node thiết lập danh sách đen mặc định các địa chỉ độc hại, mặc dù các chuyên gia an ninh cảnh báo rằng các tài sản đã được hoán đổi và cầu nối qua các giao thức như THORChain có thể khó hoặc không thể thu hồi.
Điều khoản phần thưởng và Chiến lược truyền thông
Lời đề nghị phần thưởng của IoTeX theo mô hình đã được các dự án crypto trước đó thành công trong việc đàm phán với hacker qua các khuyến khích trắng-hat tương tự 10%. Chai xác nhận với CoinDesk rằng nhóm đã gửi một tin nhắn trên chuỗi cho kẻ tấn công, nêu rõ các điều khoản, bao gồm cam kết không theo đuổi hành động pháp lý hoặc chia sẻ thông tin nhận dạng với cơ quan thực thi pháp luật nếu số tiền còn lại được trả trong vòng 48 giờ.
“Tất cả các hoạt động chuyển tiền qua Ethereum, IoTeX và bitcoin đã được truy vết đầy đủ,” Chai nói trong tin nhắn trên chuỗi. Thông báo cũng đề cập rằng các khoản gửi tiền qua sàn đã bị đánh dấu và phong tỏa, hạn chế khả năng của hacker trong việc thanh lý tài sản bị đánh cắp qua các nền tảng tập trung.
Nguyên nhân kỹ thuật và thất bại về an ninh vận hành
Vụ khai thác ngày 21 tháng 2 cho phép kiểm soát trái phép các hợp đồng cầu nối ioTube thông qua một khoá riêng của chủ validator bị xâm phạm trên phía Ethereum của hạ tầng. Các nhà phân tích an ninh nhấn mạnh rằng vụ vi phạm không phải do lỗ hổng trong hợp đồng thông minh hoặc bị xâm phạm blockchain Layer 1 của IoTeX.
Nick Motz, CEO của ORQO Group và CIO của Soil, nói với CoinDesk rằng “việc bị xâm phạm bắt nguồn từ một khoá riêng của chủ validator trên Ethereum, về cơ bản là một thất bại về an ninh vận hành, chứ không phải là lỗ hổng hợp đồng thông minh do một tác nhân bên ngoài phát hiện.” Motz lưu ý rằng trong khi Layer 1 của IoTeX vẫn an toàn, quỹ của người dùng đã được giao phó đặc biệt cho hạ tầng cầu nối mà dự án xây dựng và duy trì.
Nanak Nihal Khalsa, đồng sáng lập human.tech, diễn giải vụ việc theo các chuẩn mực trách nhiệm trong ngành. “Vâng, ai giữ khoá riêng thì chịu trách nhiệm bảo vệ nó,” Khalsa nói. “Liệu đó có phải trách nhiệm hợp lý không? Khó để nói. Nhưng đó là cách ngành công nghiệp hoạt động hiện nay.” Khalsa kêu gọi tăng cường các thiết lập ví và multisig để giảm thiểu rủi ro tương tự, đồng thời lưu ý rằng các chuẩn mực trách nhiệm vẫn chưa rõ ràng so với tài chính truyền thống.
Truy vết tài sản, hoạt động tạo token và triển vọng thu hồi
Công ty an ninh blockchain PeckShield ban đầu ước tính thiệt hại vượt quá 8 triệu USD, báo cáo rằng kẻ tấn công đã hoán đổi số tiền bị đánh cắp thành ether và bắt đầu cầu nối chúng sang bitcoin qua THORChain. Nhà điều tra trên chuỗi Specter xác nhận vụ xâm phạm, xác định khoảng 4,3 triệu USD bị rút trực tiếp từ kho token qua nhiều loại tài sản gồm USDC, USDT, IOTX, PAYG, WBTC và BUSD.
Theo phân tích của Specter, kẻ tấn công cũng đã lợi dụng các hợp đồng bị xâm phạm để tạo ra khoảng 111 triệu token CIOTX, tiêu chuẩn token chéo chuỗi của IoTeX dành cho thanh khoản đa chuỗi, trị giá ước tính khoảng 4 triệu USD. Thêm vào đó, 9,3 triệu token CCS, trị giá khoảng 4,5 triệu USD, cũng đã bị rút, mặc dù IoTeX cho biết rằng CCS và nhiều token khác đã bị ngừng hoạt động từ lâu và không còn giá trị, đồng thời CIOTX đã phần lớn bị đóng băng.
IoTeX đã xác định bốn địa chỉ bitcoin giữ 66,78 BTC trị giá khoảng 4,3 triệu USD theo giá hiện tại và cho biết các địa chỉ này đang được theo dõi phối hợp với các sàn giao dịch. Một cuộc rà soát của CoinDesk vào ngày 23 tháng 2 xác nhận rằng các địa chỉ này nắm giữ khoảng 66,6 BTC.
Triển vọng thu hồi vẫn còn rất mơ hồ. Motz cảnh báo rằng “khi tài sản đã được chuyển qua THORChain… việc thu hồi trở nên cực kỳ khó khăn,” và thêm rằng “kiểm soát không giống như thu hồi. Các tài sản có giá trị thị trường thực sự đã được hoán đổi và cầu nối. Theo đánh giá của tôi, khả năng thu hồi là rất thấp.” Khalsa cũng cảnh báo rằng “khó để dự đoán chính xác bao nhiêu, nếu có thể, sẽ được thu hồi.”
Phản ứng thị trường và các hành động của mạng lưới
Token IOTX giảm khoảng 9-22% sau vụ khai thác, từ 0,0054 USD xuống dưới 0,0042 USD trước khi phục hồi một phần. Khối lượng giao dịch tăng hơn 500% ngay sau đó.
IoTeX tạm thời ngưng hoạt động chuỗi sau vụ việc, Chai cho biết chuỗi sẽ hoạt động trở lại trong vòng 24-48 giờ sau khi thực hiện các biện pháp phong tỏa địa chỉ. Dự án đang triển khai Mainnet v2.3.4, yêu cầu các nhà vận hành node nâng cấp và bao gồm danh sách đen mặc định các địa chỉ EOAs độc hại sẽ bị lọc bởi các node.
Chai nói với The Block rằng các nỗ lực phục hồi đang được tiến hành và ước tính ban đầu thiệt hại có thể thấp hơn nhiều so với các tin đồn đang lan truyền, với số tiền ước tính hiện tại khoảng 2 triệu USD. “Chúng tôi đã ngay lập tức thông báo tất cả các sàn giao dịch phong tỏa địa chỉ của hacker, họ sẽ không thể gửi tiền vào đó,” Chai nói.
Liên quan đến vụ khai thác trước đó
Nhà điều tra trên chuỗi Specter đã phát hiện ra một khả năng liên kết dòng tiền từ ví của kẻ tấn công IoTeX đến vụ hack 49 triệu USD của ngân hàng số stablecoin Infini vào tháng 2 năm 2025, một trong những vụ khai thác lớn nhất năm ngoái. Nhóm Infini cáo buộc một nhà phát triển hợp đồng cũ, được biết đến trên chuỗi là shaneson.eth, giữ quyền quản trị và rút tiền trong vault của nền tảng.
Chai nói với The Block rằng “chúng tôi có nhiều bằng chứng cho thấy đây là một vụ tấn công có kế hoạch có thể đã diễn ra trong vòng sáu đến mười tám tháng,” mặc dù vẫn chưa rõ liệu điều này có liên quan cụ thể đến mối liên hệ hacker của Infini hay không.
Bối cảnh ngành
Vụ việc góp phần vào một mô hình liên tục về các lỗ hổng cầu nối chéo chuỗi, theo các báo cáo ngành, đã gây thiệt hại hơn 3,2 tỷ USD qua nhiều vụ khai thác. Việc xâm phạm kho khoá riêng chiếm tới 88% số tiền bị đánh cắp trong quý 1 năm 2025 và vẫn là mối đe dọa dai dẳng đến năm 2026, theo Chainalysis, báo cáo rằng trộm cắp crypto trong năm 2025 vượt quá 3,4 tỷ USD.
“Việc xâm phạm kho khoá riêng thay vì lỗi trong hợp đồng thông minh đang nổi lên như một phương thức tấn công chính,” Motz nói, lưu ý rằng các vụ việc này nhắm vào an ninh vận hành chứ không phải mã đã được kiểm toán.
IoTeX, thành lập năm 2017, tự định vị là một nền tảng blockchain dành cho các mạng lưới AI thực tế và hạ tầng vật lý phi tập trung (DePINs). Dự án duy trì các đối tác với Google, Samsung và ARM, và đã tích hợp với Polygon’s AggLayer vào cuối năm 2024.
