IoTeX 提供 10% 懸賞金給駭客，因為發生了價值 440 萬美元的跨鏈橋漏洞攻擊

IoTeX，一個專注於物聯網基礎設施的區塊鏈平台，已向負責利用其 ioTube 跨鏈橋的黑客提供10%的白帽獎金，總額約為44萬美元，條件是48小時內歸還約440萬美元的被盜資產。

該提議於2026年2月23日通過鏈上訊息和IoTeX聯合創始人兼CEO蔡Raullen的公開聲明傳達，包括承諾若資金自願歸還，將不追究法律責任或向執法部門分享身份信息。2月21日的漏洞源於以太坊端橋樑上被攻破的驗證者所有者私鑰，IoTeX及外部安全分析師將其描述為運營安全失誤，而非項目Layer 1區塊鏈或智能合約架構的漏洞。

被盜資金最初由區塊鏈安全公司估計高達880萬美元，已被IoTeX追蹤至多條鏈上，並識別出四個持有約66.6 BTC的比特幣地址。IoTeX正推出一個主網升級，要求節點運營商實施默認黑名單，封鎖惡意地址，但安全專家警告，已經通過如THORChain等協議交換和跨鏈的資產可能難以或不可能追回。

獎金條款與溝通策略

IoTeX的獎金提議遵循先前成功與黑客協商的加密項目所建立的模式，這些項目通過類似的10%白帽激勵措施取得成功。蔡向CoinDesk確認，團隊已向攻擊者發送鏈上訊息，概述條款，包括在48小時內歸還剩餘資金時，保證不追究法律行動或向執法部門分享身份信息。

“所有在以太坊、IoTeX和比特幣上的資金流動都已被完全追蹤，”蔡在鏈上訊息中表示。訊息還指出，交易所存款已被標記並凍結，限制攻擊者通過中心化平台變現被盜資產的能力。

技術原因與運營安全失誤

2月21日的漏洞使攻擊者能夠通過被攻破的以太坊端驗證者私鑰，未經授權控制ioTube的橋接合約。安全分析師強調，此次入侵並非由智能合約漏洞或IoTeX Layer 1區塊鏈的安全破壞所致。

ORQO集團CEO兼Soil的CIO Nick Motz告訴CoinDesk：“這次漏洞歸咎於以太坊端驗證者所有者私鑰被攻破，這本質上是運營安全失誤，而非外部攻擊者發現的智能合約漏洞。”他指出，雖然IoTeX的Layer 1仍然安全，但用戶資金被特別委託給該項目建立和維護的橋接基礎設施。

human.tech聯合創始人Nanak Nihal Khalsa將事件置於行業責任規範的範疇。“是的，持有私鑰的人有責任確保其安全，”Khalsa說。“這是一個合理的責任嗎？很難說。但這就是目前行業的運作方式。”他呼籲加強錢包和多重簽名設置，以降低類似風險，並指出相較於傳統金融，責任規範仍未明確。

資產追蹤、鑄幣活動與恢復前景

區塊鏈安全公司PeckShield最初估計損失超過800萬美元，報告稱攻擊者將被盜資金兌換成以太幣，並通過THORChain將其跨鏈到比特幣。鏈上調查員Specter確認資金被攻破，約430萬美元直接從多個資產（包括USDC、USDT、IOTX、PAYG、WBTC和BUSD）中被轉走。

根據Specter的分析，攻擊者還利用被攻破的合約鑄造了約1.11億個CIOTX代幣，這是IoTeX的跨鏈代幣標準，旨在多鏈流動性，估值約400萬美元。額外的930萬個CCS代幣，價值約450萬美元，也被轉走，但IoTeX表示，CCS及許多其他代幣早已停用且毫無價值，CIOTX也大多已被冻结。

IoTeX已識別出四個比特幣地址，持有66.78 BTC，按當前價格約值430萬美元，並表示正在與交易所合作監控這些地址。CoinDesk於2月23日對這些地址的審查確認它們持有約66.6 BTC。

恢復前景仍不明朗。Motz警告：“一旦資產通過THORChain路由……恢復變得極其困難，”並補充說：“封存並不等於恢復。實際有市場價值的資產已被兌換和跨鏈。依我看，這些資產不太可能被追回。”Khalsa也提醒，“很難預測能追回多少資產，甚至是否能追回。”

市場反應與網絡行動

在漏洞發生後，IOTX代幣價格下跌約9-22%，從0.0054美元跌至低於0.0042美元，隨後部分回升。交易量在事發後立即激增超過500%。

IoTeX暫時中止了其區塊鏈，蔡表示，鏈將在實施地址凍結措施後的24-48小時內恢復。該項目正在推出Mainnet v2.3.4版本，要求節點運營商升級，並包括默認的惡意外部擁有帳戶（EOA）地址黑名單，將由節點過濾。

蔡告訴The Block，恢復工作正在進行，初步估計損失遠低於傳聞，現估計約為200萬美元。“我們已立即通知所有交易所凍結黑客的地址，他們甚至無法存入該代幣，”蔡說。

與先前漏洞的關聯

鏈上調查員Specter指出，IoTeX攻擊者的錢包可能與2025年2月Infini穩定幣銀行的4.9千萬美元黑客事件有資金追蹤關聯，這是去年最大規模的漏洞之一。Infini團隊曾指控一名前合約開發者，鏈上稱為shaneson.eth，擁有管理權並盜取平台金庫。

蔡告訴The Block：“我們有多個證據表明這是一個已經持續六到十八個月的預謀攻擊，”但目前尚不清楚這是否特指與Infini黑客的潛在聯繫。

行業背景

此事件加劇了跨鏈橋漏洞的持續模式，行業報告顯示，這些漏洞已導致超過32億美元的損失。根據Chainalysis的數據，2025年第一季度私鑰被攻破事件佔被盜資金的88%，並且這一威脅持續到2026年，2025年加密貨幣盜竊總額超過34億美元。

“私鑰被攻破而非智能合約漏洞正逐漸成為主要攻擊向量，”Motz說，這類事件多針對運營安全而非經過審計的代碼。

IoTeX成立於2017年，定位為一個面向現實世界AI和去中心化物理基礎設施網絡（DePINs）的區塊鏈平台。該項目與Google、Samsung和ARM等公司合作，並於2024年底整合Polygon的AggLayer。