IoTeX offre une récompense de 10% pour la récupération : si le hacker restitue les actifs volés dans les 48 heures, il ne sera pas poursuivi.

Le 24 février, IoTeX a annoncé qu’il offrait une récompense de 10 % en bounty blanc (environ 440 000 dollars) à l’attaquant impliqué dans l’incident de piratage de son pont inter-chaînes ioTube, à condition que les actifs volés d’une valeur d’environ 4,4 millions de dollars soient restitués dans les 48 heures, et a promis de ne pas engager de poursuites légales. L’attaque a eu lieu le 21 février, suite à la fuite de la clé privée du validateur côté Ethereum d’ioTube, ce qui a permis à des acteurs malveillants de prendre le contrôle illégal du contrat du pont. IoTeX indique que cet incident concerne une faille de sécurité au niveau de la couche opérationnelle du pont inter-chaînes, et n’a pas affecté son réseau principal Layer 1 ni ses contrats intelligents eux-mêmes. Raullen Chai, co-fondateur et CEO d’IoTeX, a déclaré que l’équipe avait publié une déclaration de non-responsabilité à l’attention de l’attaquant via la blockchain, et a indiqué avoir suivi la trace des fonds, notamment environ 66,6 BTC (environ 4,3 millions de dollars) stockés dans plusieurs adresses Bitcoin. Par ailleurs, les adresses de dépôt sur les plateformes concernées ont été marquées et gelées. L’organisme de sécurité PeckShield estime que l’impact de cet incident pourrait dépasser 8 millions de dollars, une partie des actifs ayant été échangée contre de l’ETH et transférée via THORChain vers BTC. IoTeX a par la suite ajusté la perte estimée à environ 4,3 millions de dollars, précisant que ce chiffre n’inclut pas la création supplémentaire de tokens. IoTeX a également annoncé la sortie d’une mise à jour principale du réseau v2.3.4, qui introduit un mécanisme de liste noire par défaut pour les adresses malveillantes, et a demandé aux opérateurs de nœuds de procéder rapidement à la mise à jour. L’équipe a indiqué que si les actifs ne sont pas récupérés, un plan de compensation sera publié dans les 48 heures.