IoTeX ha lanzado una oferta de recompensa del 10% para el hacker o los hackers que explotaron una clave privada en su puente cross-chain, ioTube, robando millones de dólares. Esta oferta busca la devolución voluntaria de los fondos en un plazo de 48 horas.
Según un post de IoTeX en X, el cofundador y CEO de IoTeX, Raullen Chai, señaló que la compañía está dispuesta a ofrecer $440,000 si el o los perpetradores devuelven aproximadamente $4.4 millones que fueron robados.
Chai comentó a CoinDesk que el equipo envió un mensaje en la cadena, reiterando que no emprenderán acciones legales ni compartirán información que identifique al hacker con las autoridades siempre que los fondos restantes sean devueltos.
“Esto se refiere a la explotación del puente ioTube ocurrida el 21 de febrero de 2026”, mencionó Chai en el mensaje donde se pueden rastrear todos los movimientos de fondos. “Todos los movimientos de fondos a través de Ethereum, IoTeX y Bitcoin han sido completamente rastreados”.
El mensaje también indica que los depósitos en intercambios han sido señalados y congelados, además de ofrecer una recompensa del 10% por la devolución de los fondos restantes.
Chai también anunció que IoTeX está implementando una nueva versión de su red, Mainnet v2.3.4, que requerirá actualizaciones por parte de los operadores de nodos. Esta actualización incluye una lista negra por defecto de direcciones EOA (Externally Owned Account) maliciosas.
“Esta lista contiene direcciones EOA problemáticas o maliciosas que serán filtradas por el nodo”, explicó Chai.
La oferta llega tras una explotación el 21 de febrero, donde una clave privada de un validador comprometido permitió el control no autorizado sobre los contratos del puente ioTube.
IoTeX afirmó que el incidente está «bajo control», asegurando que su blockchain de Capa 1 no se vio afectada y que la brecha se limitó a la infraestructura del puente en el lado de Ethereum.
El token IOTX cayó aproximadamente un 22% tras la explotación, bajando de $0.0054 a menos de $0.0042 antes de recuperarse parcialmente.
Los puentes cross-chain han sido uno de los principales puntos de fallo en el mundo de las criptomonedas, con varios ataques de alto perfil en los últimos años. Según informes de la industria, se han perdido más de $3.2 mil millones debido a hacks en puentes cross-chain, lo que los convierte en un objetivo ideal para actores de amenazas avanzadas.
Responsabilidad y control de claves
IoTeX enmarcó la explotación como un problema operativo específico del puente, en lugar de un fallo de su red de Capa 1.
“ioTube es el propio puente cross-chain de IoTeX, construido y mantenido por su equipo”, comentó Nick Motz, CEO de ORQO Group y CIO de Soil, a CoinDesk. “La brecha se debió a una clave privada de un validador comprometida en el lado de Ethereum, lo cual es fundamentalmente un fallo de seguridad operativa, no una vulnerabilidad en el contrato inteligente descubierta por un actor externo”.
Motz coincidió en que la Capa 1 de IoTeX no fue comprometida, pero dijo que los fondos de los usuarios estaban específicamente en manos del puente.
“Cuando construyes y operas la infraestructura del puente y la gestión de claves falla, es difícil distanciarse de ese resultado”, comentó.
Nanak Nihal Khalsa, cofundador de human.tech, señaló que la responsabilidad en el ámbito cripto a menudo se reduce a la custodia de claves.
“Sí, quien posee la clave privada es responsable de asegurarla”, afirmó Khalsa. “¿Es una responsabilidad razonable? Es difícil de decir. Pero así es como funciona la industria en este momento”.
Agregó que las normas de responsabilidad aún son inciertas en comparación con las finanzas tradicionales y pidió un fortalecimiento de las configuraciones de cartera y multisig para reducir riesgos similares.
Las estimaciones divergen
Un análisis en cadena por la firma de seguridad PeckShield estimó que más de $8 millones en activos fueron afectados, informando que el atacante intercambió fondos por ether (ETH) y comenzó a transferirlos a Bitcoin a través de THORChain.
“El hacker ha intercambiado los fondos robados a $ETH y ha comenzado a transferirlos a #BTC a través de #Thorchain”, escribió la firma.
Otro investigador en cadena, Specter, informó en X que “la clave privada de @iotex_io puede haber sido comprometida”, resultando en una pérdida estimada de $4.3 millones.
“Una vez que los activos pasan por THORChain […] la recuperación se vuelve extremadamente difícil”, comentó Motz.
IoTeX declaró que ha identificado cuatro direcciones de bitcoin que contienen 66.78 BTC, valorados en aproximadamente $4.3 millones a los precios actuales, y que dichas direcciones están siendo monitoreadas en colaboración con los intercambios.
Una revisión de CoinDesk de esas direcciones realizada el 23 de febrero confirmó que contienen aproximadamente 66.6 BTC.
IoTeX no respondió de inmediato a la solicitud de comentarios de CoinDesk.
“Contener no es lo mismo que recuperar”, agregó. “Los activos con valor de mercado real fueron intercambiados y transferidos. En mi evaluación, es poco probable que se recuperen”.
Khalsa advirtió que las perspectivas de recuperación son inciertas. “Es difícil predecir cuánto, si es que se puede recuperar algún monto”, afirmó.
IoTeX actualizó su cifra a aproximadamente $4.3 millones, reflejando la pérdida directa de activos, pero excluyendo los tokens acuñados. Motz comentó que estimaciones más amplias podrían capturar mejor la gravedad de la violación.
“La compensación de claves privadas en vez de fallos en el contrato inteligente está surgiendo como un vector de ataque dominante”, expresó Motz, señalando que tales incidentes apuntan a la seguridad operativa en vez de al código auditado.
Antes de ofrecer la recompensa del 10%, IoTeX anunció que un plan de compensación estaría en marcha en las siguientes 48 horas.
Fuente: www.coindesk.com