IoTeX, un projet blockchain axé sur les appareils de l’Internet des objets, a offert une prime de 10 % au(x) pirate(s) qui exploitaient une clé privée sur son pont inter-chaînes ioTube, siphonnant des millions de dollars, en échange du retour volontaire des fonds dans les 48 heures.
Avec cette décision, IoTeX offre 440 000 $ si le ou les acteurs malveillants restituent environ 4,4 millions de dollars qu’ils ont volés, selon un article d’IoTeX X, que le co-fondateur et PDG d’IoTeX, Raullen Chai, a souligné lundi « comme une source de vérité ».
Un certain nombre de projets de cryptographie ont offert des primes similaires de 10 % aux pirates informatiques après avoir été piratés. Les pirates restituent parfois des fonds en échange de cette prime.
Chai a déclaré à CoinDesk que l’équipe avait envoyé un message en chaîne proposant de ne pas engager de poursuites judiciaires ou de partager des informations d’identification avec les forces de l’ordre si les fonds restants étaient restitués.
« Il s’agit de l’exploit du pont ioTube du 21 février 2026 », a déclaré Chai dans le message. « Tous les mouvements de fonds sur Ethereum, IoTeX et Bitcoin ont été entièrement retracés. »
Le message indique que les dépôts de change ont été signalés et gelés et offre une prime de 10 % pour le retour des fonds restants.
Chai a également déclaré qu’IoTeX déployait une nouvelle version de la chaîne, Mainnet v2.3.4, nécessitant une mise à niveau des opérateurs de nœuds. La mise à jour inclut une liste noire par défaut d’adresses de comptes externes (EOA) malveillants.
« Cette liste noire contient une liste d’adresses EOA malveillantes ou problématiques qui seront filtrées par le nœud », a déclaré Chai.
L’offre fait suite à un exploit du 21 février dans lequel une clé privée compromise du propriétaire du validateur a permis un contrôle non autorisé sur les contrats de pont d’ioTube.
IoTeX a déclaré que l’incident était « sous contrôle », affirmant que sa blockchain de couche 1 n’était pas affectée et que la violation était isolée de l’infrastructure du pont côté Ethereum.
Le jeton IOTX a chuté d’environ 22 % à la suite de l’exploit, passant de 0,0054 $ à moins de 0,0042 $ avant de rebondir partiellement.
Les ponts entre chaînes ont été l’un des principaux points d’échec de la cryptographie, avec plusieurs exploits très médiatisés ces dernières années. Selon les rapports de l’industrie, plus de 3,2 milliards de dollars ont été perdus en raison du piratage de ponts inter-chaînes, ce qui en fait une cible privilégiée pour les acteurs de menace avancés.
Responsabilité et contrôle clé
IoTeX a présenté l’exploit comme un problème opérationnel spécifique au pont plutôt que comme une défaillance de son réseau de couche 1.
« IoTube est le propre pont inter-chaînes d’IoTeX, construit et entretenu par leur équipe », a déclaré à CoinDesk Nick Motz, PDG du groupe ORQO et CIO de Soil. « La violation est due à une clé privée compromise du propriétaire du validateur du côté d’Ethereum, ce qui est fondamentalement une défaillance de sécurité opérationnelle, et non une vulnérabilité de contrat intelligent découverte par un acteur extérieur. »
Motz a convenu que la couche 1 d’IoTeX n’était pas compromise, mais a déclaré que les fonds des utilisateurs étaient spécifiquement confiés au pont.
« Lorsque vous construisez et exploitez l’infrastructure du pont et que la gestion clé est ce qui échoue, il est difficile de vous séparer de ce résultat », a-t-il déclaré.
Nanak Nihal Khalsa, co-fondateur de human.tech, a déclaré que la responsabilité en matière de cryptographie se résume souvent à la garde des clés.
« Oui, quiconque détient la clé privée est responsable de sa sécurité », a déclaré Khalsa. « Est-ce une responsabilité raisonnable ? C’est difficile à dire. Mais c’est ainsi que fonctionne l’industrie actuellement. »
Il a ajouté que les normes de responsabilité restent instables par rapport à la finance traditionnelle et a appelé à des configurations de portefeuille et multisig plus solides pour réduire les risques similaires.
Les estimations divergent
L’analyse en chaîne réalisée par la société de sécurité PeckShield a estimé que plus de 8 millions de dollars d’actifs ont été affectés, affirmant que l’attaquant a échangé des fonds contre de l’éther (ETH) et a commencé à les relier au bitcoin. via THORChain.
« Le pirate informatique a échangé les fonds volés contre $ETH et a commencé à les relier à #BTC via #Thorchain », a écrit la société.
Un autre enquêteur onchain, Spectre, a déclaré sur X que « la clé privée de @iotex_io pourrait avoir été compromise », entraînant une perte estimée à 4,3 millions de dollars.
«Une fois que les actifs sont acheminés via THORChain […] la reprise devient extrêmement difficile », a déclaré Motz.
IoTeX a déclaré avoir identifié quatre adresses Bitcoin détenant 66,78 BTC d’une valeur d’environ 4,3 millions de dollars aux prix actuels et que les adresses étaient surveillées en coopération avec les bourses.
Un examen CoinDesk de ces adresses le 23 février a confirmé qu’elles détenaient environ 66,6 BTC.
IoTeX n’a pas immédiatement répondu à la demande de commentaires de CoinDesk.
« Le confinement n’est pas la même chose que la reprise », a-t-il ajouté. « Les actifs ayant une valeur marchande réelle ont été échangés et comblés. Il est, à mon avis, peu probable qu’ils soient récupérés. »
Khalsa a également averti que les perspectives de reprise sont incertaines. « Il est difficile de prédire combien, le cas échéant, il sera possible de récupérer », a-t-il déclaré.
IoTeX a révisé son chiffre à la hausse à environ 4,3 millions de dollars, reflétant la fuite directe des actifs, mais excluant les jetons émis. Motz a déclaré que des estimations plus larges pourraient mieux rendre compte de la gravité de la violation.
« La compromission des clés privées plutôt que les bogues de contrats intelligents apparaît comme un vecteur d’attaque dominant », a déclaré Motz, notant que de tels incidents ciblent la sécurité opérationnelle plutôt que le code audité.
Avant d’offrir la prime de 10 %, IoTeX a déclaré qu’un plan de compensation serait mis en place dans les prochaines 48 heures.
MISE À JOUR (23 février 2026, 23h21 UTC) : Ajoute du contexte sur les primes offertes après des hacks.