Sign in Subscribe

IoTeXがioTubeブリッジのインシデントに対処した方法:1ヶ月の総括

On Feb 21, 2026, the ioTube bridge exploit challenged our ecosystem. Today, we share a full review of our recovery. This isn't just a post-mortem; it’s a record of how the IoTeX Foundation, Delegates, and community united under pressure. We remain committed to the transparency you deserve.

IoTeX Team

6 min read
Share
How IoTeX Responded to the ioTube Bridge Incident: A Full Month in Review

Posted by the IoTeX Foundation

1ヶ月前の2026年2月21日、IoTeXは前例のない挑戦に直面しました。私たちのioTubeブリッジが悪用されたのです。今日は、何が起こったのかを振り返り、先月のIoTeXの回復努力をレビューしたいと思います。私たちはコミュニティと全貌を共有することにコミットしています - あなたには初日からの透明性が必要であり、今でもそれが必要です。

これは単なるインシデントの事後報告ではありません。これは、IoTeXファウンデーション、私たちの代表者、取引所パートナー、そして最も重要なコミュニティがプレッシャーの下でどのように団結し、強くなったかの記録です。

何が起こったか

2026年2月21日の早朝、私たちのチームは、ioTubeブリッジのEthereum側を対象としたセキュリティ侵害を検出しました。巧妙な攻撃者 - 後にChainalysisによって$49M Infini悪用の背後にいるグループと特定された - が、疑わしいソーシャルエンジニアリング攻撃を通じて従業員のマシンに侵入し、私たちのインフラストラクチャ内に長時間滞在することを可能にしました。

2026年2月21日01:51 UTC、彼らは攻撃を開始し、まずioTubeブリッジのバリデーターコントラクトを悪意のあるバージョンにアップグレードしました。これにより攻撃者は、約$4.4Mのブリッジ準備資産(WBTC、ETH、USDC、USDT、DAI、PAXG、UNI、BUSD、CCS)を引き出し、ネットワークからさらなる価値を引き出す試みとして410M CIOTXトークンをミントすることが許可されました。

それは非常にプロフェッショナルで、忍耐強く、慎重に計画された攻撃でした。その後、私たちの応答が続きました。

即時の対応:時間、ではなく日数

私たちのチームは、2026年2月21日午前8:01 UTCにインシデントを検出しました - 悪用行為が発生した数時間以内のことです。最初の公的なコミュニティアラートは、検出から2時間も経たない9:39 AM UTCに発信されました。10:03 AM UTCには、私たちのバリデータネットワークが予防策としてIoTeXチェーンの運用を自発的に停止しました。その日の夕方には、すべての盗まれた資金の動きに関するオンチェーンの追跡が完了しました。

重要なことをはっきりさせましょう:IoTeXのL1チェーン自体は決して侵害されませんでした。インシデントは厳密にEthereum側のioTubeブリッジコントラクトに限定されました。あなたのIOTXがオンチェーンまたは取引所で安全であったことに変わりはありません。IOTXの総供給量および流通供給量は一度も影響を受けていません。

攻撃から72時間以内に:

  • 29の攻撃者ウォレットが確認され、ブラックリストに登録されました
  • Mainnet v2.3.4が開発、テスト、デプロイされ、ネットワークレベルで攻撃者ウォレット内の約45M IOTXが永久に凍結されました
  • IoTeXチェーンは2026年2月24日06:06 AM UTCに復旧しました
  • 正式な報告がFBIおよび世界の法執行機関に提出されました
  • 私たちのチームは、資産凍結に関してBinanceおよび20以上の取引所パートナーと積極的に調整を行いました

特に、私たちのIoTeX代表者 - iotexcore、binancenode、samsungnext、iosg、ankr、rockx、metanyx、fuzzland、smartstake、他の多くの方々 - に感謝の意を表します。彼らの24時間体制の調整により、チェーンの停止とその後の回復が可能になりました。

透明なコミュニケーション、最初から

私たちは、24時間以内に最初の完全な技術インシデント報告を公開しました。その後の数週間で、根本原因分析、チェーン回復状況、影響の明確化、資産追跡、補償計画、ガバナンスロードマップを包括的にカバーした3つの公式更新を公開しました。また、DiscordでのライブコミュニティQ&Aも開催しました。私たちは、IoTeXコミュニティに起こったすべての重要な開発を公開し、透明性を保ってきました。

この透明性へのコミットメントは、取引所へのコミュニケーションにも拡大しました。DAXA - 韓国の主要取引所を代表するデジタル資産取引所協会 - がIOTXに対して投資警告を発し、詳細な技術的質問を求めた際、私たちは完全な法医学ドキュメント、オンチェーン証拠、正確なタイムライン、完全な修復ロードマップを持って応答し、過去1ヶ月のすべてのフォローアップ質問に詳細に対応しました。

私たちは、コミュニティと規制パートナーが同じ品質の情報を受け取るに値することを信じています。それは決して変わりません。

影響を受けたすべてのユーザーへの100%の補償

最初の更新を公開した瞬間から、私たちは一つの無条件の約束をしました:影響を受けたすべてのユーザーは100%の補償を受ける、盗まれた資金が最終的にどれだけ回収されるかにかかわらず。すべての補償は、IoTeXファウンデーションのトレジャリーから、安定コインおよび非IOTX準備金から全額賄われ、公共市場でのIOTXの清算はゼロです

私たちは、事故から9日後の3月2日にioTube請求ポータルを立ち上げることでその約束を最初に実行しました。補償構造は以下の通りです:

  • Tier 1 (≤ $10,000影響を受けた): 安定コインでの100%即時支払い - 影響を受けたウォレットの90%以上をカバー
  • Tier 2 (> $10,000影響を受けた): $10,000の即時支払い + 残額を12ヶ月の四半期ごとのトランシェで支払う + 12ヶ月間のステークされたIOTXの10%のロイヤリティボーナス

現在、補償請求ポータルがライブで支払いが開始されています。影響を受けた方で、まだ請求を提出していない方は、iotube-claims.iotex.io にアクセスして請求を提出してください。

攻撃者から回収したすべてのセントは、影響を受けたユーザーへの補償またはファウンデーションのトレジャリーの返金にのみ向けられます。回収された資金は公開のマルチ署名ウォレットに保持され、補償と回復に関する透明性のある更新を定期的に提供し続けます。

すべての主要取引所が1ヶ月以内に運営再開

インシデント直後、主要取引所では標準的な予防策として入出金が一時停止されました。私たちの取引所関係チームは即座に動き、20以上のパートナーに通知し、回復を通じて密接に調整しました。その結果は言うまでもありません:

1週間以内:Binance、Coinbase、Bitget、Gate.io、HashKey、KuCoin、MEXC、LBankなどがIOTXの入出金を完全に再開しました。

1ヶ月以内:合計11の取引所パートナーが、IOTXの入出金を再開しました。

IOTXの取引自体は、このインシデント全体の間、一切停止されませんでした。あなたの取引所で保持されているIOTXは、常に安全で取引可能でした。

韓国の取引所:DAXA投資警告の解除

私たちが直面した最も難しい状況の1つは、DAXAの監視の下でUpbit、Bithumb、Coinoneの3つの主要韓国取引所がIOTXに対して発行した投資警告でした。この種の警告は、取引アクセスや市場の認識に深刻な影響を持つ可能性があります。

私たちは、DAXAへの包括的な正式応答の後に、DAXA投資警告が解除され、韓国の取引所がIOTXの通常の入出金を再開したことを自慢に思います。これは、私たちがDAXAからのすべての質問に完全に対応する中での迅速な対応と透明性によるものでした - 私たちはオンチェーン証拠、詳細なインシデントタイムライン、完全な補償計画、セキュリティ修復ロードマップ、および供給の整合性の証明を提供しました。

私たちの知識の限り、IoTeXはこの期間内にこの種のDAXA投資警告レビューを成功裏に乗り越えた唯一のプロジェクトの1つです。この成果は、私たちのチームが応答に費やした作業の質と、年々取引所と築いてきた信頼の賜物です。私たちは、過去1ヶ月間の公正かつ徹底した協力にDAXAに感謝します。

IoTeXの未来を確保する:複数のIIP、システム的改革

影響を受けたユーザーを元通りにする以上に私たちができる最も重要なことは、これが二度と起こらないようにすることです。私たちは壊れたものを単に修復するのではなく、根本的により安全なものに置き換えています。

IIP-56: すべてのネットワークでのCIOTXの完全廃止が通過しました。CIOTXはEthereum、Base、Solana、BSC、Polygonで永久に廃止されました。攻撃者がミントしたトークンのすべての出口チャネルは閉鎖され、正当な保有者は請求ポータルを通じて補償を受けることになります。

IIP-57: 信用のないZK証明ブリッジはコミュニティレビュー段階にあります。これは、IoTeXにおけるクロスチェーンインフラストラクチャの未来です。IoTeXのコンセンサスが正しく発生したことを数学的に証明するブリッジで、Ethereumで確認され、仲介者も秘密鍵も奪われることはありません。私たちはEthereum財団と協力してこれを進めており、完了すれば業界で最も安全なブリッジアーキテクチャになるでしょう。

上記のIIPに加えて、私たちは包括的なインフラのオーバーホールを完了しました:

  • すべてのブリッジコントラクトをマルチ署名ガバナンスに移行しました
  • すべてのGCPおよびAWSの認証情報をローテーションし、侵害されたサービスアカウントを退会させました
  • すべてのセンシティブキーに対してハードウェアセキュリティモジュール(HSM)をデプロイし、ソフトウェアベースのキー保管を永久に排除しました
  • リアルタイムのトランザクション監視を行い、自動アラートとオンチェーンのサーキットブレーカーを実装しました
  • 組織全体のセキュリティ強化、ハードウェア2FAの必須、エンドポイント保護、ソーシャルエンジニアリング意識トレーニングを含めました
  • 現在、すべてのブリッジインフラの独立した第三者セキュリティ監査が進行中です
  • バグバウンティプログラムの拡張が開始されました

コミュニティへのメッセージ

これは、IoTeXの歴史の中で最も困難な1ヶ月でした。巧妙で資金力のある忍耐強い敵が私たちを狙い攻撃を実行し、システムの弱点を悪用しました。それを最小限に抑えることはできません。

私たちが言えるのは、証拠をもってこのように言えます:私たちは迅速に検出し、決定的に行動し、オープンにコミュニケーションを取り、コアネットワークを保護し、影響を受けたすべてのユーザーを元通りにし、すべての規制および取引所の関係に対してプロフェッショナルかつ透明に対応し、この瞬間を活用して、IoTeXを以前よりもはるかに安全にする構造改革を促進しました。

IoTeXのL1は決して侵害されませんでした。私たちのコミュニティは決して信頼を失いませんでした。私たちの取引所パートナーは立ち上がり、私たちの代表者は24時間体制で働き、IoTeXファウンデーションは私たちが約束したすべてを守りました。

IoTeXの基盤 - 私たちのテクノロジー、私たちのチーム、私たちのコミュニティ、現実世界のAIを強化するという私たちの使命 - は intact であり、これまで以上に強力です。IoTeXの最高の日々はまだ先にあります。私たちと共にいてくださり、ありがとうございます。

— IoTeXファウンデーション、2026年3月

ioTubeブリッジのインシデントの影響を受けた場合は、iotube-claims.iotex.ioで補償請求を提出してください。

Sign up for more like this.

Enter your email
Subscribe