IoTeX bietet Hackern eine Belohnung von 10% nach dem Exploit der Cross-Chain-Brücke im Wert von 4,4 Millionen US-Dollar

IoTeX, eine Blockchain-Plattform, die sich auf die Infrastruktur des Internets der Dinge konzentriert, hat den Hackern, die die ioTube-Überbrückung zwischen Blockchains ausgenutzt haben, eine Belohnung von 10 % in Höhe von etwa 440.000 US-Dollar angeboten, vorausgesetzt, sie kehren innerhalb von 48 Stunden etwa 4,4 Millionen US-Dollar gestohlener Vermögenswerte zurück.

Das Angebot, das am 23. Februar 2026 durch eine On-Chain-Nachricht und öffentliche Erklärungen des Mitgründers und CEO von IoTeX, Raullen Chai, kommuniziert wurde, beinhaltet die Zusicherung, keine rechtlichen Schritte einzuleiten oder identifizierende Informationen an Strafverfolgungsbehörden weiterzugeben, wenn die Gelder freiwillig zurückgegeben werden. Der Exploit vom 21. Februar entstand durch einen kompromittierten privaten Schlüssel eines Validator-Besitzers auf der Ethereum-Seite der Brücke, was IoTeX und externe Sicherheitsexperten als einen operativen Sicherheitsfehler und nicht als eine Schwachstelle in der Layer-1-Blockchain oder der Smart-Contract-Architektur des Projekts bewerten.

Die gestohlenen Gelder, die zunächst von Blockchain-Sicherheitsfirmen auf bis zu 8,8 Millionen US-Dollar geschätzt wurden, wurden von IoTeX über mehrere Chains hinweg nachverfolgt. Das Projekt identifizierte vier Bitcoin-Adressen, die etwa 66,6 BTC halten. IoTeX führt ein Mainnet-Upgrade durch, das von Node-Betreibern verlangt, eine Standard-Blacklist bösartiger Adressen zu implementieren, wobei Sicherheitsexperten warnen, dass bereits getauschte und über Protokolle wie THORChain überbrückte Vermögenswerte schwer oder unmöglich wiederherzustellen sind.

Bedingungen des Bounty und Kommunikationsstrategie

Das Angebot von IoTeX folgt einem Muster, das von früheren Krypto-Projekten etabliert wurde, die erfolgreich mit Hackern durch ähnliche Anreize von 10 % White-Hat-Programmen verhandelt haben. Chai bestätigte CoinDesk, dass das Team eine On-Chain-Nachricht an den Angreifer gesendet hat, in der die Bedingungen dargelegt sind, einschließlich einer Garantie, keine rechtlichen Schritte einzuleiten oder identifizierende Informationen an Strafverfolgungsbehörden weiterzugeben, falls die verbleibenden Gelder innerhalb des 48-Stunden-Fensters zurückgegeben werden.

„Alle Geldbewegungen auf Ethereum, IoTeX und Bitcoin wurden vollständig nachverfolgt“, erklärte Chai in der On-Chain-Nachricht. Die Kommunikation wies außerdem darauf hin, dass Einlagen auf Börsen markiert und eingefroren wurden, um die Liquidation gestohlener Vermögenswerte durch zentrale Plattformen zu begrenzen.

Technische Ursache und operativer Sicherheitsfehler

Der Exploit vom 21. Februar ermöglichte unbefugte Kontrolle über die ioTube-Bridge-Verträge durch einen kompromittierten privaten Schlüssel eines Validator-Besitzers auf der Ethereum-Seite der Infrastruktur. Sicherheitsexperten betonten, dass die Sicherheitslücke nicht auf eine Smart-Contract-Schwachstelle oder eine Kompromittierung der Layer-1-Blockchain von IoTeX zurückzuführen ist.

Nick Motz, CEO der ORQO Group und CIO von Soil, sagte CoinDesk, „der Vorfall lag an einem kompromittierten privaten Schlüssel eines Validator-Besitzers auf der Ethereum-Seite, was grundsätzlich ein operativer Sicherheitsfehler ist und keine Schwachstelle im Smart Contract, die von einem externen Akteur entdeckt wurde.“ Motz fügte hinzu, dass die Layer-1-Blockchain von IoTeX sicher blieb, die Nutzerfonds jedoch speziell dem Brücken-Infrastruktur vertraut wurden, die das Projekt aufgebaut und gewartet hat.

Nanak Nihal Khalsa, Mitgründer von human.tech, bezeichnete den Vorfall im Kontext branchenweiter Verantwortlichkeitsnormen: „Ja, wer den privaten Schlüssel besitzt, ist verantwortlich für dessen Sicherheit“, sagte Khalsa. „Ist das eine angemessene Verantwortung? Schwer zu sagen. Aber so funktioniert die Branche momentan.“ Khalsa forderte stärkere Wallet- und Multisig-Setups, um ähnliche Risiken zu minimieren, und wies darauf hin, dass Haftungsnormen im Vergleich zum traditionellen Finanzwesen noch ungeklärt sind.

Vermögensnachverfolgung, Minting-Aktivitäten und Wiederherstellungsaussichten

Die Blockchain-Sicherheitsfirma PeckShield schätzte zunächst Verluste von über 8 Millionen US-Dollar und berichtete, dass der Angreifer die gestohlenen Gelder in Ether umtauschte und sie über THORChain auf Bitcoin überbrückte. Der On-Chain-Analyst Specter bestätigte die Kompromittierung, identifizierte etwa 4,3 Millionen US-Dollar, die direkt aus dem Token-Safe auf mehreren Vermögenswerten wie USDC, USDT, IOTX, PAYG, WBTC und BUSD abgezogen wurden.

Laut Specters Analyse nutzte der Angreifer auch die kompromittierten Verträge, um etwa 111 Millionen CIOTX-Token zu minten, den Cross-Chain-Token-Standard von IoTeX für Multichain-Liquidität, mit einem geschätzten Wert von 4 Millionen US-Dollar. Zusätzlich wurden 9,3 Millionen CCS-Token im Wert von etwa 4,5 Millionen US-Dollar abgezogen, wobei IoTeX erklärte, dass CCS und viele andere Token längst veraltet sind und keinen Wert mehr haben, und dass CIOTX größtenteils eingefroren wurde.

IoTeX hat vier Bitcoin-Adressen identifiziert, die 66,78 BTC im Wert von etwa 4,3 Millionen US-Dollar bei aktuellen Kursen halten, und erklärte, dass diese Adressen in Zusammenarbeit mit Börsen überwacht werden. Eine Überprüfung dieser Adressen durch CoinDesk am 23. Februar bestätigte, dass sie etwa 66,6 BTC hielten.

Die Aussichten auf eine Wiederherstellung sind unsicher. Motz warnte, dass „sobald Vermögenswerte über THORChain umgeleitet wurden, eine Rückführung äußerst schwierig wird“, und fügte hinzu: „Eindämmung ist nicht dasselbe wie Rückführung. Die Vermögenswerte mit echtem Marktwert wurden getauscht und überbrückt. Meiner Einschätzung nach ist eine Rückführung unwahrscheinlich.“ Khalsa warnte ähnlich, dass „es schwer vorherzusagen ist, wie viel, wenn überhaupt, zurückgeholt werden kann.“

Marktreaktion und Netzwerkmaßnahmen

Der IOTX-Token fiel nach dem Exploit um etwa 9-22 %, von 0,0054 USD auf unter 0,0042 USD, bevor er sich teilweise erholte. Das Handelsvolumen stieg in der unmittelbaren Folge um mehr als 500 %.

IoTeX setzte seine Blockchain vorübergehend aus, wobei Chai erklärte, dass die Kette innerhalb von 24-48 Stunden nach Implementierung der Adressensperrmaßnahmen wieder in Betrieb genommen werde. Das Projekt rollt ein Mainnet-Update auf Version 2.3.4 aus, das von Node-Betreibern verlangt, ein Upgrade durchzuführen und eine Standard-Blacklist bösartiger externer Konten (EOA) zu implementieren, die von den Nodes gefiltert werden.

Chai sagte gegenüber The Block, dass Wiederherstellungsmaßnahmen laufen und erste Schätzungen darauf hindeuten, dass der potenzielle Verlust deutlich niedriger ist als Gerüchte vermuten lassen, aktuell auf etwa 2 Millionen US-Dollar geschätzt. „Wir haben alle Börsen sofort benachrichtigt, die Adresse des Hackers zu sperren. Sie werden nicht einmal mehr Token einzahlen können“, sagte Chai.

Verbindung zum vorherigen Exploit

Der On-Chain-Analyst Specter wies auf eine mögliche Verbindung zwischen der Wallet des IoTeX-Angreifers und dem 49-Millionen-Dollar-Hack der Stablecoin-Neobank Infini im Februar 2025 hin, einer der größten Exploits des letzten Jahres. Das Infini-Team hatte einem ehemaligen Vertragsentwickler, bekannt auf der Chain als shaneson.eth, vorgeworfen, Verwaltungsrechte zu behalten und die Vault der Plattform geplündert zu haben.

Chai sagte gegenüber The Block, „wir haben mehrere Hinweise, die darauf hindeuten, dass es sich um einen geplanten Angriff handelt, der bereits seit sechs bis achtzehn Monaten in Entwicklung ist“, wobei unklar bleibt, ob dies speziell auf die Verbindung zum Infini-Hacker bezogen ist.

Branchenkontext

Der Vorfall reiht sich in eine anhaltende Reihe von Schwachstellen bei Cross-Chain-Brücken ein, bei denen Branchenberichte Verluste von über 3,2 Milliarden US-Dollar durch mehrere Exploits dokumentieren. Private-Key-Kompro­mittierungen machten im ersten Quartal 2025 88 % der gestohlenen Gelder aus und bleiben eine anhaltende Bedrohung auch im Jahr 2026, so Chainalysis, das berichtete, dass Krypto-Diebstähle im Jahr 2025 über 3,4 Milliarden US-Dollar erreichten.

„Private-Key-Kompro­mittierungen sind inzwischen die dominierende Angriffs­methode, im Gegensatz zu Smart-Contract-Fehlern“, sagte Motz, und betonte, dass solche Vorfälle eher auf operative Sicherheit abzielen als auf geprüfte Codes.

IoTeX, gegründet 2017, positioniert sich als Blockchain-Plattform für reale KI-Anwendungen und dezentrale physische Infrastruktur-Netzwerke (DePINs). Das Projekt unterhält Partnerschaften mit Google, Samsung und ARM und integrierte sich Ende 2024 in Polygon’s AggLayer.