Sign in Subscribe

ioTube桥事件更新第2号:链已恢复,恢复工作正在进行中

IoTeX Team

3 min read
ioTube Bridge Incident Update No.2: Chain Resumed, Recovery Underway

这是自ioTube桥安全事件以来的第二次更新。我们的优先事项仍然是网络的安全性和受影响用户资产的全面恢复。今天,我们报告三个关键领域:IoTeX链的成功恢复、明确的影响分析,以及我们的恢复状态和赔偿路线图。

1. IoTeX主网已重新上线

截至2月24日,06:06 UTC,IoTeX主网已恢复全面运营。

在过去的48小时内,我们的核心团队与代表们全天候合作,构建、测试和部署Mainnet v2.3.4。此链级安全升级永久性地将所有29个已识别的攻击者钱包列入黑名单。大约4500万IOTX在这些钱包中现在在网络级别被永久冻结。这些资金现在对攻击者永久不可访问。涉及这些地址的任何交易将不再被处理。

  • 网络状态:链正常生成区块。您可以在iotexscan.io/blocks监控实时活动。
  • 代表感谢:我们对36位代表表示感谢,包括mrtrump、iotexcore、pubxpayments、chainshield、ioseallsimon、envirobloq、hotspotty、longz、ankr、nebulaguard、taskrunner、metanyx、cryptozoo、fuzzland、chainalytics、iotfi、iogpt、moonrise、gamefantasy、humano、iotexlab、satoshimusk、swft、goodwill、smartstake、keys、rockx、iotexn、emmasiotx、coredev、binancenode、matrix、dappera、thebottoken、hofancrypto和bittaker,他们的迅速协调使这次恢复成为可能。

交易所协调:

我们已通知20多个交易所合作伙伴,并密切协调以恢复存款和取款服务。

由于事件发生后作为标准预防措施,存款和取款已暂停。现在链已上线并实施了安全升级,我们预计服务将在接下来的几个小时和几天内逐步恢复。

我们还与DAXA(韩国数字资产交易所协会)密切合作,已提交正式回应,附带完整的事件文档、我们的赔偿承诺和安全补救路线图。

IOTX交易在事件发生期间在所有主要交易所保持活跃。链暂停并未影响交易所持有的余额——您在交易所的IOTX在整个过程中都是安全的。

2. 澄清实际影响

关于总损失的数据在第三方报告中有所波动。经过严格的链上取证分析,我们可以提供以下细分:

A. 未经授权的代币铸造(410M CIOTX)

虽然铸造了4.1亿个代币,99.5%的这些资产已被中和

  • 76.8%(3.15亿):在以太坊和Base上永久锁定,流动性为零。
  • 9.9%(4050万):通过v2.3.4升级永久冻结。
  • 12.8%(5240万):已存入Binance;冻结协调正在进行中。
  • 0.4%(170万):唯一成功通过DEX清算的部分。

B. 桥接储备耗尽(约440万美元)

这代表了实现的经济损失。攻击者耗尽了储备资产(USDC、USDT、WETH、WBTC),将其转换为约2183 ETH,并通过THORChain桥接约1464 ETH到比特币,最终将其转换为66.78 BTC

  • 这些资产目前存放在四个已识别的比特币地址中。
  • 状态:自2月21日以来,没有一个聪币被转移。这些钱包处于24/7监控之下,并已被全球标记。

结论:虽然铸造代币的“面值”看起来很高,但实际的经济损失是可控的。IoTeX基金会承诺对每位受影响用户进行100%的赔偿,由基金会国库资助。我们将在接下来的更新中提供一份专门的沟通,包含完整的资格标准、索赔流程和门户时间表。

在幕后,自从我们检测到漏洞的那一刻起,我们的恢复行动就一直在全天候进行。虽然不涉及操作细节,这里是我们可以分享的内容:

我们已向美国执法部门提交了正式报告,包括FBI,并积极协调保存请求和传票。

我们正在与领先的区块链分析和资产恢复公司合作,追踪、标记和冻结攻击者接触的每个链和服务上的被盗资产。超过20个交易所已被通知并正在合作。

我们还与独立链上调查员合作,他们已识别出该攻击者的资金钱包与其他近期攻击之间的联系——这表明这是一个有组织的威胁行为者的工作,而不是一次机会性黑客攻击。

攻击者应该明白:48小时的悬赏窗口将在2月25日到期。之后,我们将动用所有可用工具——法律、技术和调查——来追查。返回90%并离开的提议仍然有效,但不会永远有效。

4. 结构性安全升级:确保此类事件不再发生

此次事件是由于操作安全失败(密钥泄露)造成的,而不是IoTeX区块链代码或智能合约的漏洞。为了防止再次发生,我们正在实施:

  • IIP-55:通过多方验证委员会过渡到去中心化桥接治理以防止单点故障。
  • 多签名 + 时间锁控制在所有特权桥接操作上
  • 独立安全审计所有ioTube基础设施——目前正在进行中
  • 链上断路器、凭证管理改革和扩展的漏洞奖励计划

下一步:

完整的赔偿计划将在我们的下一次更新中发布。专门用于赔偿索赔流程和资格标准的门户将很快发布。

感谢您在我们加强IoTeX生态系统时的持续耐心和支持。

IoTeX团队

Sign up for more like this.

Enter your email
Subscribe