IoTeX向黑客提供10%悬赏，因其跨链桥被攻击，损失达440万美元

IoTeX，一个专注于物联网基础设施的区块链平台，已向负责利用其ioTube跨链桥漏洞的黑客提供10%的白帽悬赏，总额约为44万美元，前提是在48小时内归还大约440万美元的被盗资产。

该提议通过链上信息和IoTeX联合创始人兼CEO蔡Raullen于2026年2月23日的公开声明传达，包括在自愿归还资金的情况下，不追究法律责任或向执法机构披露身份信息的承诺。2月21日的漏洞源自以太坊端桥上的验证者所有者私钥被攻破，IoTeX和外部安全分析师将其描述为操作安全失误，而非项目的Layer 1区块链或智能合约架构的漏洞。

被盗资金最初由区块链安全公司估算高达880万美元，已被IoTeX追踪到多个链上，项目识别出四个比特币地址持有约66.6 BTC。IoTeX正在推出主网升级，要求节点运营商实现默认黑名单机制，屏蔽恶意地址，但安全专家警告，已通过协议如THORChain交换和跨链的资产可能难以或不可能追回。

奖金条款与沟通策略

IoTeX的悬赏提议遵循此前成功与黑客协商的加密项目所采用的模式，即通过类似的10%白帽激励。蔡在CoinDesk确认，团队已向攻击者发送链上信息，说明条款，包括在48小时内归还剩余资金的情况下，不追究法律责任或披露身份信息的保证。

“所有在以太坊、IoTeX和比特币上的资金流动都已被完全追踪，”蔡在链上信息中表示。沟通中还提到，交易所的存款已被标记和冻结，限制攻击者通过中心化平台变现被盗资产的能力。

技术原因与操作安全失误

2月21日的漏洞使攻击者通过以太坊端验证者私钥被攻破，获得了对ioTube桥合约的未授权控制。安全分析师强调，此次入侵并非源于智能合约漏洞或IoTeX Layer 1区块链的被攻破。

ORQO集团CEO兼Soil的首席信息官Nick Motz告诉CoinDesk：“这次漏洞归因于以太坊端验证者私钥被攻破，根本上是操作安全失败，而非外部攻击者发现的智能合约漏洞。”他指出，虽然IoTeX的Layer 1保持安全，但用户资金被特别托付给了项目构建和维护的桥基础设施。

human.tech联合创始人Nanak Nihal Khalsa将事件置于行业责任规范的框架内。“是的，持有私钥的人有责任确保其安全，”Khalsa说。“这是合理的责任吗？很难说。但这就是行业目前的运作方式。”他呼吁加强钱包和多签设置，以降低类似风险，并指出责任规范与传统金融相比尚未定型。

资产追踪、铸币活动与恢复前景

区块链安全公司PeckShield最初估算损失超过800万美元，报告称攻击者将被盗资金兑换成以太币，并通过THORChain将其跨链到比特币。链上调查员Specter确认了此次入侵，识别出约430万美元的资金直接从多个资产（包括USDC、USDT、IOTX、PAYG、WBTC和BUSD）中被转出。

根据Specter的分析，攻击者还利用被攻破的合约铸造了约1.11亿个CIOTX代币，作为IoTeX的跨链代币标准，旨在多链流动性，估值约400万美元。还被转出另外930万CCS代币，估值约450万美元，尽管IoTeX表示，CCS及许多其他代币早已废弃且无价值，CIOTX也已大部分被冻结。

IoTeX已识别出四个比特币地址，持有66.78 BTC，按当前价格价值约430万美元，并表示正在与交易所合作监控这些地址。CoinDesk在2月23日对这些地址的审查确认，它们持有大约66.6 BTC。

恢复前景仍不明朗。Motz警告：“一旦资产通过THORChain路由……恢复变得极其困难，”他补充说：“封存不等于恢复。实际有市场价值的资产已被交换和跨链。这些资产，我的判断，不太可能被追回。”Khalsa也提醒，“很难预测能追回多少资产，甚至是否能追回。”

市场反应与网络行动

在漏洞发生后，IOTX代币价格下跌约9-22%，从0.0054美元跌至低于0.0042美元，随后部分反弹。交易量在事发后立即激增超过500%。

IoTeX暂时中止了区块链运行，蔡表示，链将在实施地址冻结措施后24-48小时内恢复。项目正在推出Mainnet v2.3.4版本，要求节点运营商升级，并加入默认黑名单机制，过滤恶意外部拥有账户（EOA）地址。

蔡告诉The Block，恢复工作正在进行中，初步估算显示潜在损失远低于流传的谣言，目前估计约为200万美元。“我们已立即通知所有交易所冻结黑客的地址，他们甚至无法存入代币，”蔡说。

与之前漏洞的关联

链上调查员Specter指出，可能存在资金追踪线索，将IoTeX攻击者的钱包与2025年2月Infini稳定币银行的4900万美元黑客事件联系起来，后者是去年最大规模的漏洞之一。Infini团队曾指控一名前合约开发者（链上名为shaneson.eth）拥有管理权限并从平台金库中提取资金。

蔡告诉The Block：“我们有多项证据表明这是一次有计划的攻击，可能已经酝酿了六到十八个月，”但尚不清楚这是否特指与Infini黑客的潜在关联。

行业背景

此次事件加剧了跨链桥漏洞的持续模式，行业报告显示，相关漏洞已导致超过32亿美元的损失。Chainalysis报告，私钥被攻破在2025年第一季度占被盗资金的88%，并持续成为2026年的主要威胁，2025年加密盗窃总额超过34亿美元。

“私钥被攻破而非智能合约漏洞正逐渐成为主要攻击路径，”Motz说，强调此类事件多针对操作安全而非经过审计的代码。

IoTeX成立于2017年，定位为面向现实世界AI和去中心化物理基础设施网络（DePINs）的区块链平台。该项目与谷歌、三星和ARM等公司合作，并于2024年底整合Polygon的AggLayer。

常见问题

IoTeX提供的10%白帽奖金是什么？

IoTeX提供约44万美元（占被盗资产约4.4百万美元的10%），奖励负责利用ioTube桥漏洞的黑客，前提是他们在48小时内自愿归还资金。该提议包括IoTeX承诺不追究法律责任或向执法机构披露身份信息。

IoTeX桥漏洞是如何发生的？

2026年2月21日的漏洞源于以太坊端验证者私钥被攻破，导致攻击者获得对ioTube跨链桥合约的未授权控制。安全分析师将其描述为操作安全失败，而非IoTeX Layer 1区块链或智能合约的漏洞。攻击者控制了桥合约，直接从金库中提取了代币。

被盗资金能否追回？

前景不明。虽然IoTeX已识别出持有约66.6 BTC的比特币地址，并正与交易所合作监控和冻结资产，但攻击者已将被盗资金兑换成以太币，并通过THORChain将其跨链到比特币，这使得追回变得极其困难。安全专家指出，已被交换和跨链的资产极不可能追回，但白帽奖金提供了自愿归还的激励。