IoTeX เสนอโบนัส 10% ให้กับแฮกเกอร์หลังจากช่องโหว่สะพานข้ามสายโซ่มูลค่า 4.4 ล้านดอลลาร์

IoTeX เป็นแพลตฟอร์มบล็อกเชนที่เน้นโครงสร้างพื้นฐานของ Internet-of-Things ได้เสนอโบนัสขาว 10% รวมมูลค่าประมาณ 440,000 ดอลลาร์สหรัฐ ให้กับแฮกเกอร์ที่รับผิดชอบในการโจมตีสะพานข้ามสายโซ่ ioTube ของตน โดยเงื่อนไขคือจะต้องคืนทรัพย์สินที่ถูกโจรกรรมประมาณ 4.4 ล้านดอลลาร์ ภายใน 48 ชั่วโมง

ข้อเสนอนี้ถูกสื่อสารผ่านข้อความบนเชนและแถลงการณ์สาธารณะโดย Raullen Chai ผู้ร่วมก่อตั้งและ CEO ของ IoTeX เมื่อวันที่ 23 กุมภาพันธ์ 2026 ซึ่งรวมถึงคำมั่นว่าจะไม่ดำเนินคดีทางกฎหมายหรือแชร์ข้อมูลระบุตัวตนกับเจ้าหน้าที่ตำรวจ หากเงินถูกคืนโดยสมัครใจ การโจมตีเมื่อวันที่ 21 กุมภาพันธ์ เกิดจากการถูกโจมตีคีย์ส่วนตัวของผู้ดูแล validator บนฝั่ง Ethereum ของสะพาน ซึ่ง IoTeX และนักวิเคราะห์ด้านความปลอดภัยภายนอกได้วิเคราะห์ว่าเป็นความล้มเหลวด้านความปลอดภัยในการดำเนินงานมากกว่าช่องโหว่ในบล็อกเชน Layer 1 หรือสถาปัตยกรรมสมาร์ทคอนแทรกต์ของโปรเจกต์

ทรัพย์สินที่ถูกโจรกรรม ซึ่งเดิมประมาณการโดยบริษัทด้านความปลอดภัยบล็อกเชนว่าอาจสูงถึง 8.8 ล้านดอลลาร์ ได้ถูกติดตามบนหลายสายโซ่ โดย IoTeX ระบุว่ามีที่อยู่บิตคอยน์ 4 แห่งที่ถือครองประมาณ 66.6 BTC IoTeX กำลังอัปเกรด mainnet โดยให้โหนดดำเนินการบล็อกดำ (blacklist) ที่อยู่ที่เป็นอันตราย แม้นักวิเคราะห์ด้านความปลอดภัยเตือนว่าสินทรัพย์ที่ถูกแลกเปลี่ยนและเชื่อมต่อผ่านโปรโตคอลเช่น THORChain อาจเป็นเรื่องยากหรือเป็นไปไม่ได้ที่จะกู้คืน

เงื่อนไขโบนัสและกลยุทธ์การสื่อสาร

ข้อเสนอโบนัสของ IoTeX เป็นไปตามแนวทางที่เคยใช้โดยโปรเจกต์คริปโตเคอเรนซีอื่น ๆ ที่ประสบความสำเร็จในการเจรจากับแฮกเกอร์ผ่านแรงจูงใจ white-hat 10% ชัยยืนยันกับ CoinDesk ว่าทีมได้ส่งข้อความบนเชนไปยังผู้โจมตีโดยระบุเงื่อนไข ซึ่งรวมถึงการรับประกันว่าจะไม่ดำเนินคดีหรือแชร์ข้อมูลกับเจ้าหน้าที่ตำรวจ หากเงินที่เหลืออยู่ถูกคืนภายใน 48 ชั่วโมง

“การเคลื่อนไหวของทุนทั้งหมดบน Ethereum, IoTeX และ Bitcoin ได้ถูกติดตามอย่างสมบูรณ์แล้ว” ชายระบุในข้อความบนเชน ข้อความยังระบุว่าการฝากเงินในแพลตฟอร์มแลกเปลี่ยนถูกระบุและระงับ ทำให้ผู้โจมตีไม่สามารถปล่อยสินทรัพย์ที่โจรกรรมไปผ่านแพลตฟอร์มศูนย์กลางได้

สาเหตุทางเทคนิคและความล้มเหลวด้านความปลอดภัยในการดำเนินงาน

การโจมตีเมื่อวันที่ 21 กุมภาพันธ์ ทำให้สามารถควบคุมสัญญาสะพาน ioTube ได้โดยไม่ได้รับอนุญาต ผ่านคีย์ส่วนตัวของผู้ดูแล validator บนฝั่ง Ethereum นักวิเคราะห์ด้านความปลอดภัยเน้นว่าการโจมตีนี้ไม่ได้เกิดจากช่องโหว่ในสมาร์ทคอนแทรกต์หรือบล็อกเชน Layer 1 ของ IoTeX

Nick Motz ซีอีโอของ ORQO Group และ CIO ของ Soil กล่าวกับ CoinDesk ว่า “การโจมตีนี้เกิดจากคีย์ส่วนตัวของ validator บนฝั่ง Ethereum ซึ่งเป็นความล้มเหลวด้านความปลอดภัยในการดำเนินงาน ไม่ใช่ช่องโหว่ในสมาร์ทคอนแทรกต์ที่ค้นพบโดยบุคคลภายนอก” เขาย้ำว่าแม้ Layer 1 ของ IoTeX จะยังคงปลอดภัย แต่เงินของผู้ใช้ถูกฝากไว้โดยเฉพาะในโครงสร้างสะพานที่โปรเจกต์สร้างและดูแล

Nanak Nihal Khalsa ผู้ร่วมก่อตั้ง human.tech กล่าวว่ากรณีนี้เป็นตัวอย่างของความรับผิดชอบในอุตสาหกรรม “ใช่แล้ว ใครก็ตามที่ถือคีย์ส่วนตัวก็มีความรับผิดชอบในการรักษาความปลอดภัย” Khalsa กล่าว “เป็นความรับผิดชอบที่สมเหตุสมผลไหม? ยากจะบอก แต่เป็นวิธีที่อุตสาหกรรมดำเนินการในตอนนี้” เขาเรียกร้องให้มีการตั้งค่ากระเป๋าเงินและ multisig ที่แข็งแกร่งขึ้นเพื่อลดความเสี่ยงในอนาคต โดยเน้นว่ามาตรฐานความรับผิดชอบยังไม่แน่นอนเทียบกับการเงินแบบดั้งเดิม

การติดตามทรัพย์สิน การสร้างเหรียญ และโอกาสในการกู้คืน

บริษัทด้านความปลอดภัยบล็อกเชน PeckShield ประเมินว่าการสูญเสียอาจเกิน 8 ล้านดอลลาร์ โดยรายงานว่าผู้โจมตีได้แลกเปลี่ยนสินทรัพย์โจรกรรมเป็น ether และเริ่มเชื่อมต่อไปยังบิตคอยน์ผ่าน THORChain นักสืบเชิงเชน Specter ยืนยันการโจมตีและระบุว่ามีการถอนเงินประมาณ 4.3 ล้านดอลลาร์โดยตรงจากคลังโทเคนในหลายสินทรัพย์ รวมถึง USDC, USDT, IOTX, PAYG, WBTC และ BUSD

จากการวิเคราะห์ของ Specter ผู้โจมตีใช้สัญญาที่ถูกโจมตีเพื่อสร้างเหรียญ CIOTX ประมาณ 111 ล้านเหรียญ ซึ่งเป็นมาตรฐานโทเคนข้ามสายโซ่ของ IoTeX สำหรับสภาพคล่องหลายสายโซ่ มูลค่าประมาณ 4 ล้านดอลลาร์ นอกจากนี้ยังมีการถอน CCS อีก 9.3 ล้านเหรียญ มูลค่าประมาณ 4.5 ล้านดอลลาร์ แม้ IoTeX ระบุว่า CCS และโทเคนอื่น ๆ หลายรายการถูกเลิกใช้งานไปนานแล้วและไม่มีมูลค่า และ CIOTX ก็ถูกระงับการใช้งานในระดับหนึ่งแล้ว

IoTeX ระบุว่ามีที่อยู่บิตคอยน์ 4 แห่งถือครอง 66.78 BTC มูลค่าประมาณ 4.3 ล้านดอลลาร์ตามราคาปัจจุบัน และระบุว่ากำลังติดตามที่อยู่เหล่านี้ร่วมกับแพลตฟอร์มแลกเปลี่ยน การตรวจสอบของ CoinDesk เมื่อวันที่ 23 กุมภาพันธ์ ยืนยันว่าที่อยู่เหล่านั้นถือครองประมาณ 66.6 BTC

โอกาสในการกู้คืนยังคงไม่แน่นอน Motz เตือนว่า “เมื่อสินทรัพย์ถูกเชื่อมต่อผ่าน THORChain แล้ว การกู้คืนจะเป็นเรื่องยากมาก” และเสริมว่า “การควบคุมไม่เท่ากับการกู้คืน สินทรัพย์ที่มีมูลค่าตลาดจริงถูกแลกเปลี่ยนและเชื่อมต่อแล้ว ซึ่งในความเห็นของผม โอกาสที่จะกู้คืนเป็นไปได้น้อย” Khalsa ก็เตือนเช่นกันว่า “เป็นเรื่องยากที่จะคาดเดาว่าจะสามารถกู้คืนได้เท่าไร ถ้ามี”

ปฏิกิริยาตลาดและการดำเนินการของเครือข่าย

หลังจากการโจมตี ราคาเหรียญ IOTX ลดลงประมาณ 9-22% จาก 0.0054 ดอลลาร์สหรัฐ ลงไปต่ำกว่า 0.0042 ดอลลาร์ ก่อนที่จะฟื้นตัวบางส่วน ปริมาณการซื้อขายพุ่งขึ้นกว่า 500% ในช่วงเวลาสั้น ๆ

IoTeX ระงับบล็อกเชนชั่วคราวหลังเหตุการณ์ โดย Chai ระบุว่าบล็อกเชนจะกลับมาใช้งานได้ภายใน 24-48 ชั่วโมง หลังจากดำเนินการบล็อกที่อยู่และมาตรการระงับบัญชีที่เป็นอันตราย โปรเจกต์กำลังอัปเกรด Mainnet เป็นเวอร์ชัน 2.3.4 ซึ่งจะให้โหนดอัปเกรดและรวมถึงการบล็อกที่อยู่ที่เป็นอันตรายโดยค่าเริ่มต้น ซึ่งจะถูกกรองโดยโหนด

Chai บอกกับ The Block ว่าการดำเนินการกู้คืนอยู่ระหว่างดำเนินการ และประมาณการเบื้องต้นคาดว่าการสูญเสียจริงจะต่ำกว่าข่าวลือในวงกว้าง โดยประมาณการอยู่ที่ประมาณ 2 ล้านดอลลาร์ “เราได้แจ้งให้ทุกแพลตฟอร์มแลกเปลี่ยนระงับที่อยู่ของแฮกเกอร์ทันที พวกเขาจะไม่สามารถฝากเหรียญได้เลย” Chai กล่าว

เชื่อมโยงกับการโจมตีในอดีต

นักสืบเชิงเชน Specter ชี้ให้เห็นเส้นทางการเงินที่เชื่อมต่อระหว่างกระเป๋าเงินของผู้โจมตี IoTeX กับการโจมตีของ stablecoin neobank Infini มูลค่า 49 ล้านดอลลาร์ เมื่อกุมภาพันธ์ 2025 ซึ่งเป็นหนึ่งในการโจมตีครั้งใหญ่ที่สุดของปีที่แล้ว ทีม Infini กล่าวหาว่าอดีตนักพัฒนาสัญญาอัจฉริยะที่รู้จักกันในชื่อ shaneson.eth ยังคงมีสิทธิ์บริหารและได้ปล่อยเงินในคลังของแพลตฟอร์ม

Chai บอกกับ The Block ว่า “เรามีหลักฐานหลายชิ้นที่ชี้ให้เห็นว่านี่เป็นการโจมตีที่วางแผนไว้ ซึ่งอาจพัฒนามาแล้ว 6 ถึง 18 เดือน” แต่ยังไม่ชัดเจนว่านี่หมายถึงการเชื่อมโยงกับแฮกเกอร์ Infini หรือไม่

บริบทในอุตสาหกรรม

เหตุการณ์นี้เป็นส่วนหนึ่งของแนวโน้มความเสี่ยงของสะพานเชื่อมสายโซ่ที่เกิดขึ้นอย่างต่อเนื่อง ซึ่งรายงานของอุตสาหกรรมระบุว่ามีการสูญเสียมากกว่า 3.2 พันล้านดอลลาร์จากการโจมตีหลายครั้ง การโจรกรรมคีย์ส่วนตัวคิดเป็น 88% ของเงินที่โจรกรรมในไตรมาสแรกของปี 2025 และยังคงเป็นภัยคุกคามต่อเนื่องในปี 2026 ตามรายงานของ Chainalysis ซึ่งระบุว่าการโจรกรรมคริปโตเคอเรนซีแตะระดับ 3.4 พันล้านดอลลาร์ในปี 2025

“การโจมตีด้วยคีย์ส่วนตัวแทนช่องโหว่ในสมาร์ทคอนแทรกต์กลายเป็นวิธีการโจมตีหลัก” Motz กล่าว โดยเน้นว่าการโจมตีเหล่านี้มุ่งเป้าไปที่ความปลอดภัยในการดำเนินงานมากกว่ารหัสที่ได้รับการตรวจสอบแล้ว

IoTeX ก่อตั้งในปี 2017 เป็นแพลตฟอร์มบล็อกเชนสำหรับ AI ในโลกจริงและเครือข่ายโครงสร้างพื้นฐานทางกายภาพแบบกระจายศูนย์ (DePINs) โปรเจกต์มีความร่วมมือกับ Google, Samsung และ ARM และได้เชื่อมต่อกับ Polygon’s AggLayer เมื่อปลายปี 2024

คำถามที่พบบ่อย

โบนัสขาว 10% ที่ IoTeX เสนอคืออะไร?

IoTeX เสนอโบนัสประมาณ 440,000 ดอลลาร์ ซึ่งเป็น 10% ของทรัพย์สินโจรกรรมประมาณ 4.4 ล้านดอลลาร์ ให้กับแฮกเกอร์ที่รับผิดชอบการโจมตีสะพาน ioTube หากพวกเขา voluntarily คืนเงินภายใน 48 ชั่วโมง ข้อเสนอนี้รวมถึงคำมั่นว่าจะไม่ดำเนินคดีหรือแชร์ข้อมูลระบุตัวตนกับเจ้าหน้าที่ตำรวจ

การโจมตีสะพาน IoTeX เกิดขึ้นได้อย่างไร?

การโจมตีเมื่อวันที่ 21 กุมภาพันธ์ 2026 เกิดจากการถูกโจมตีคีย์ส่วนตัวของ validator บนฝั่ง Ethereum ของสะพาน ioTube นักวิเคราะห์ด้านความปลอดภัยระบุว่านี่เป็นความล้มเหลวด้านความปลอดภัยในการดำเนินงาน ไม่ใช่ช่องโหว่ในบล็อกเชน Layer 1 หรือสมาร์ทคอนแทรกต์ของ IoTeX ผู้โจมตีสามารถควบคุมสัญญาสะพานโดยไม่ได้รับอนุญาตและถอนสินทรัพย์โดยตรงจากคลัง

สินทรัพย์ที่โจรกรรมสามารถกู้คืนได้หรือไม่?

โอกาสในการกู้คืนยังไม่แน่นอน แม้ IoTeX จะระบุว่ามีที่อยู่บิตคอยน์ประมาณ 66.6 BTC และกำลังประสานงานกับแพลตฟอร์มแลกเปลี่ยนเพื่อเฝ้าระวังและระงับทรัพย์สิน แต่ผู้โจมตีได้แลกเปลี่ยนสินทรัพย์โจรกรรมเป็น ether และเชื่อมต่อไปยังบิตคอยน์ผ่าน THORChain ซึ่งเป็นโปรโตคอลที่ทำให้การกู้คืนเป็นเรื่องยากมาก นักความปลอดภัยชี้ว่าทรัพย์สินที่ถูกแลกเปลี่ยนและเชื่อมต่อแล้วไม่น่าจะกู้คืนได้ แต่ข้อเสนอโบนัสก็เป็นแรงจูงใจให้ผู้โจมตีคืนทรัพย์สินโดยสมัครใจ