Sign in Subscribe

Mise à jour sur l'incident de sécurité de ioTube n°3 : Plan de récupération et de compensation complet

IoTeX Team

5 min read
Share
ioTube Security Incident Update No.3 : Full Recovery & Compensation Plan

Ceci est notre troisième mise à jour suite à l'incident de sécurité du pont ioTube du 21 février et à l'activation du Mainnet v2.3.4 le 24 février. L'équipe IoTeX a travaillé sans relâche avec des échanges majeurs, des experts en sécurité et des forces de l'ordre mondiales pour tracer et récupérer les fonds volés. Bien que l'IoTeX L1 n'ait pas été affecté par l'incident et reste sécurisé, nous reconnaissons l'impact réel que cet incident a eu sur les utilisateurs de ioTube.

Indépendamment du résultat de la récupération, la Fondation IoTeX s'engage à indemniser tous les utilisateurs affectés, veillant à ce que chaque utilisateur concerné reçoive 100 % de compensation. Ce blog décrit un plan de compensation définitif pour fournir un soulagement immédiat à la grande majorité des utilisateurs de la communauté tout en maintenant la stabilité et la durabilité à long terme de l'écosystème.

Enquête & Mise à jour sur la récupération des actifs

Depuis l'incident de sécurité, la Fondation IoTeX a pris des mesures immédiates et agressives pour suivre et récupérer les actifs affectés. Tous les détails de notre enquête et de l'état de récupération des actifs peuvent être trouvés dans ce blog, et sont résumés ci-dessous.

  • Suivi On-Chain : 100 % des mouvements de fonds volés ont été tracés avec succès. Nous surveillons les adresses détenant les fonds volés 24/7 en coordination avec des échanges et des sociétés de sécurité.
    CIOTX : Sur les 410 millions de CIOTX non autorisés frappés par l'attaquant, plus de 86 % sont définitivement verrouillés/gelés via des contrôles au niveau de la chaîne déployés dans le Mainnet v2.3.4, tandis que 12,8 % ont été tracés jusqu'à Binance et sont effectivement gelés. Seulement 0,4 % (1,7 M CIOTX) échangé via DEX est considéré à risque.
    Actifs de réserve de pont (USDC, USDT, WBTC, ETH) : Les actifs de réserve de pont volés ont été convertis en ~2 183 ETH dont ~1 572 ETH ont été transférés à Bitcoin via THORChain. Les 4 adresses Bitcoin détenant un total de 66,78 BTC sont sous surveillance 24/7. Ces fonds restent non dépensés.
  • Bounty Whitehat : Nous avons émis un message open chain à l'attaquant proposant un 10 % Bounty Whitehat en échange du retour sécurisé des fonds volés. La fenêtre pour cette offre se ferme le 25 février. Après cela, tous les outils juridiques, techniques et d'investigation à notre disposition seront déployés sans réserve.
  • Forces de l'ordre & Partenaires de sécurité : Des rapports formels ont été déposés auprès du FBI et des partenaires mondiaux de forces de l'ordre. Nous coopérons activement sur les demandes de préservation et d'actions de gel d'actifs sur chaque plateforme pertinente.

Plan de compensation complet & Éligibilité

⭐️ Critères d'éligibilité : Tous les propriétaires de portefeuille ayant des actifs bridés légitimes d'Ethereum (USDC, USDT, ETH, WBTC) détenus sur IoTeX L1 au moment de l'incident seront éligibles à une compensation complète.

La Fondation IoTeX veillera à ce que chaque utilisateur concerné reçoive 100 % de compensation. Pour maximiser le nombre d’utilisateurs indemnisés immédiatement, nous mettons en place un modèle de compensation par niveaux :

Niveau 1 : Récupération complète immédiate

  • Éligibilité : Solde total affecté jusqu’à 10 000 USD (équivalent).
  • Résolution : 100 % des actifs perdus seront récupérables en stablecoins ou en actifs natifs sur Ethereum lors du lancement du Portail de Réclamations.
  • Impact : Le niveau 1 couvre >90 % des utilisateurs affectés, veillant à ce que la grande majorité de la communauté IoTeX reçoive une compensation immédiate.

Niveau 2 : Récupération complète par étapes (avec bonus)

  • Éligibilité : Solde total affecté dépassant 10 000 USD (équivalent).
  • Résolution : Les premiers 10 000 USD seront disponibles pour réclamation immédiate lors du lancement du Portail de Réclamations. Le solde dépassant sera distribué en tranches trimestrielles égales sur 12 mois. Les demandeurs de niveau 2 recevront également un bonus supplémentaire de 10 % sur la portion différée, payé en IOTX avec chaque tranche trimestrielle au prix IOTX alors en vigueur et staké pendant 12 mois à partir de chaque émission.
  • Impact : Le niveau 2 garantit que les ~10 % d'utilisateurs ayant des fonds impactés >10 000 USD sont entièrement indemnisés, plus un bonus IOTX de 10 % sur la portion différée, tout en maintenant la stabilité à long terme du réseau IoTeX.

Note : toute adresse identifiée par des partenaires de sécurité comme appartenant à l'attaquant, associée à des entités exploitantes, ou participant à des arbitrages post-exploitation ne sera pas éligible à une compensation.

Portail de réclamation & Processus de récupération

Pour garantir un processus vérifiable et simplifié pour indemniser tous les utilisateurs affectés, la Fondation IoTeX lancera une Adresse de Dépôt de Récupération et un Portail de Réclamations qui permettront aux utilisateurs affectés de demander et de recevoir une compensation de manière sécurisée. Ceux-ci seront actifs le vendredi 27 février.

D'un point de vue général, l'Adresse de Dépôt de Récupération sur la blockchain IoTeX servira de hub de dépôt pour les actifs bridés (côté IoTeX) qui reflètent les actifs affectés (côté Ethereum) qui ont été volés. Une fois que les actifs bridés (côté IoTeX) sont transférés à l'Adresse de Dépôt de Récupération, les utilisateurs affectés soumettront une réclamation via le Portail de Réclamations avec des informations concernant leur portefeuille, les actifs impactés, les hash(s) de transaction de dépôt, et les informations de contact. Une fois la réclamation vérifiée, la Fondation IoTeX émettra le montant équivalent d'actifs déposés sur la blockchain Ethereum aux utilisateurs affectés. Le processus de bout en bout est détaillé ci-dessous.

Étape 1 : Adresse de Dépôt de Récupération officielle & Lien du Portail de Réclamations

La Fondation IoTeX partagera une Adresse de Dépôt de Récupération officielle et un lien du Portail de Réclamations par le biais de canaux vérifiés (site officiel d'IoTeX, Twitter/X, Discord et Telegram) le vendredi 27 février.

⚠️ Avertissement de sécurité : Ne jamais faire confiance à des informations envoyées par DM ou provenant de sources non vérifiées. Vérifiez l'adresse et le lien sur au moins deux canaux IoTeX officiels avant de continuer.

Étape 2 : Préparation des actifs & Dépôt

  1. Retirer les actifs : Si vos actifs bridés affectés (WBTC, ETH, USDC, USDT) sont actuellement déployés dans des protocoles DeFi sur IoTeX (tels que des plateformes de prêt ou des pools de liquidités), veuillez les retirer vers votre portefeuille IoTeX. Si vos actifs sont déjà dans votre portefeuille IoTeX, vous pouvez sauter cette étape.
  2. Vérification du portefeuille : assurez-vous d'avoir accès à l'adresse de votre portefeuille IoTeX sur la blockchain Ethereum car la compensation sera effectuée sur la même adresse de portefeuille sur Ethereum. Si vous ne pouvez pas accéder facilement à l'adresse de votre portefeuille IoTeX sur Ethereum (par exemple, les utilisateurs de Ledger), transférez vos actifs vers un nouveau portefeuille IoTeX unique qui est accessible à la fois sur IoTeX et Ethereum. NE PAS diviser vos soldes d'actifs individuels en plusieurs portefeuilles (par exemple, 100 USDT -> 50 USDT, 25 USDT, 25 USDT), car cela entraînera une perte d'éligibilité.
  3. Transfert : Envoyez les actifs bridés affectés directement de votre portefeuille IoTeX à l'Adresse de Dépôt de Récupération désignée dans une transaction unique par type d'actif (par exemple, uniquement une transaction pour ETH, uniquement une transaction pour WBTC, etc.) et enregistrez chaque hash de transaction individuel.

⚠️ NOTE DE CONFORMITÉ : Avant d'envoyer des actifs bridés affectés à l'Adresse de Dépôt de Récupération, NE PAS diviser vos soldes d'actifs en plusieurs portefeuilles ou restructurer vos actifs pour contourner les seuils de niveau. La violation de ces règles entraînera des réclamations signalées, un traitement retardé ou une perte d'éligibilité. Tous les portefeuilles liés à l'exploitant ou à toute activité néfaste post-exploitation seront signalés comme inéligibles à une compensation.

Étape 3 : Soumission de réclamationUne fois votre dépôt à l'Adresse de Dépôt de Récupération confirmé sur la chaîne, soumettez une réclamation formelle via le Portail de Réclamations après son lancement le vendredi 27 février avec les informations suivantes :

  • Adresse de portefeuille IoTeX qui a déposé des actifs à l'Adresse de Dépôt de Récupération
  • Types et montants des actifs déposés à l'Adresse de Dépôt de Récupération
  • Hashes de transaction de vos dépôts (un hash par type d'actif)
  • Informations de contact (email, Telegram et/ou Discord)

Étape 4 : Vérification & Paiement

La Fondation IoTeX examinera et vérifiera chaque réclamation par rapport aux données sur chaîne et aux transactions de dépôt réelles effectuées par chaque utilisateur. La compensation sera ensuite effectuée en conséquence sur la blockchain Ethereum en fonction des niveaux mentionnés ci-dessus (c'est-à-dire, Niveau 1 : ≤10k, Niveau 2 : >10k) une fois l'examen et la vérification terminés.

Étape 5 : Transparence continue

La Fondation publiera des Rapports de Récupération périodiques détaillant le volume de réclamations reçues, la valeur totale traitée et l'état des obligations restantes.

Un message de la Fondation IoTeX

Nous prenons l'entière responsabilité de cet incident, et nous agissons avec urgence pour indemniser chaque utilisateur affecté. La Fondation IoTeX procédera à un audit de sécurité indépendant de toute l'infrastructure du pont et s'engage à partager les résultats de manière transparente et à mettre en œuvre des dispositions structurelles pour empêcher que cela ne se reproduise. La force de tout réseau est finalement mesurée par la façon dont il réagit à l'adversité et nous avons l'intention de définir la norme.

Au milieu de cette exploitation du pont, les fondamentaux du réseau IoTeX restent solides - la blockchain IoTeX L1 reste sécurisée, notre équipe principale est intacte et plus engagée que jamais, et la passion de notre communauté pour construire l'avenir du DePIN et de l'IA dans le monde réel est sans faille. Les meilleurs jours d'IoTeX sont encore à venir. Merci pour votre patience et votre support continu.

- La Fondation IoTeX

Sign up for more like this.

Enter your email
Subscribe