ioTube安全事件更新第3号：全面恢复与补偿计划

这是我们在ioTube桥接安全事件后的第三次更新，发生在2月21日和Mainnet v2.3.4激活于2月24日。IoTeX团队与主要交易所、安全专家和全球执法机构通力合作，昼夜追踪和恢复被盗资金。虽然IoTeX L1未受到事件影响，仍然安全，但我们认识到此次事件对ioTube用户的实际影响。

无论恢复结果如何，IoTeX基金会承诺将使所有受影响用户得到补偿，确保每位受影响用户获得100%的赔偿。这篇博客概述了一个明确的补偿计划，以便在维持生态系统的长期稳定和可持续性的同时，为绝大多数社区用户提供即时救助。

调查与资产恢复更新

自安全事件以来，IoTeX基金会已采取立即且积极的行动来追踪和恢复受影响的资产。我们调查和资产恢复状态的完整细节可以在这篇博客中找到，并在下面总结。

• 链上追踪：100%的被盗资金流动已成功追踪。我们与交易所和安全公司协调，24/7监控持有被盗资金的地址。
  ➔ CIOTX：在攻击者铸造的4.1亿未授权CIOTX中，86%以上通过在Mainnet v2.3.4中部署的链级控制被永久锁定/冻结，而12.8%已追踪到Binance并有效被冻结。仅0.4%（170万CIOTX）通过DEX交换被视为有风险。
  ➔ 桥接储备资产（USDC、USDT、WBTC、ETH）：被盗的桥接储备资产已转换为约2183 ETH，其中约1572 ETH通过THORChain桥接到比特币。所有4个比特币地址总共持有66.78 BTC，均在24/7监控下。这些资金仍未支出。
• 白帽赏金：我们已向攻击者发布了一条公开的链上消息，提供10%的白帽赏金以换取安全归还被盗资金。此提议的截止日期为2月25日。之后，我们将毫不保留地使用所有法律、技术和调查工具。
• 执法与安全合作伙伴：已向FBI和全球执法合作伙伴提交正式报告。我们正在积极配合保存请求和各个平台的资产冻结行动。

全面补偿计划与资格

⭐️ 资格标准：任何在事件发生时持有来自以太坊的合法桥接资产（USDC、USDT、ETH、WBTC）的钱包所有者将有资格获得全额赔偿。

IoTeX基金会将确保每位受影响用户获得100%的赔偿。为了最大化立即使用户得到补偿的数量，我们将实施分层补偿模型：

第1层：立即全额恢复

• 资格：总受影响余额不超过10,000美元（等值）。
• 解决方案：100%的损失资产将在索赔门户启动时以稳定币或以太坊上的原生资产进行索赔。
• 影响：第1层覆盖>90%的受影响用户，确保绝大多数IoTeX社区获得即时赔偿。

第2层：分阶段全额恢复（附加奖金）

• 资格：总受影响余额超过10,000美元（等值）。
• 解决方案：前10,000美元将在索赔门户启动时可立即索赔。超出余额将在12个月内按季度平分。第2层索赔者还将获得额外的10%奖金，以12个月质押的IOTX作为分阶段偿还期的进一步补偿。
• 影响：第2层确保约10%的用户在超过10,000美元的受影响资金中，随着时间的推移获得110%的受影响价值赔偿，同时保持IoTeX网络的长期稳定。

注意：任何被安全合作伙伴识别为属于攻击者、与利用实体相关或参与后利用套利的地址将不符合赔偿资格。

索赔门户与恢复流程

为了确保一个可验证和简化的流程，使所有受影响用户得到补偿，IoTeX基金会将推出一个恢复存款地址和索赔门户，允许受影响用户以安全的方式请求和接收赔偿。这些将在2月27日星期五上线。

从高层次来看，IoTeX区块链上的恢复存款地址将作为桥接资产（IoTeX侧）的存款中心，这些资产与被盗的受影响资产（以太坊侧）相对应。一旦桥接资产（IoTeX侧）转移到恢复存款地址，受影响用户将通过索赔门户提交索赔，提供有关其钱包、受影响资产、存款交易哈希和联系信息。一旦索赔得到验证，IoTeX基金会将向受影响用户发放等值的以太坊区块链上的存款资产。端到端的流程详述如下。

第1步：官方恢复存款地址与索赔门户链接

IoTeX基金会将通过经过验证的渠道（官方IoTeX网站、Twitter/X、Discord和Telegram）在2月27日星期五分享官方恢复存款地址和索赔门户链接。

⚠️ 安全警告：切勿信任通过DM或未验证来源发送的任何信息。在继续之前，请在至少两个官方IoTeX渠道上验证地址和链接。

第2步：资产准备与存款

1. 提取资产：如果您的受影响桥接资产 (WBTC、ETH、USDC、USDT) 当前在IoTeX上的DeFi协议中（如借贷平台或流动性池）部署，请将其提取回您的IoTeX钱包。如果您的资产已经在您的IoTeX钱包中，您可以跳过此步骤。
2. 钱包检查：确保您可以访问以太坊区块链上的IoTeX钱包地址，因为赔偿将支付到以太坊上的同一钱包地址。如果您无法轻松访问以太坊上的IoTeX钱包地址（例如，Ledger用户），请将您的资产转移到一个在IoTeX和以太坊上均可访问的新IoTeX钱包中。切勿将您的单个资产余额拆分到多个钱包中（例如，100 USDT -> 50 USDT、25 USDT、25 USDT），因为这将导致失去资格。
3. 转账：将受影响的桥接资产直接从您的IoTeX钱包发送到指定的恢复存款地址，每种资产类型进行单笔交易(例如，仅对ETH进行一笔交易，仅对WBTC进行一笔交易等)，并记录每个单独的交易哈希。

⚠️ 合规说明：在将受影响的桥接资产发送到恢复存款地址之前，切勿将您的资产余额拆分到多个钱包中或重组您的资产以规避层级阈值。违反这些规则将导致索赔被标记、处理延迟或失去资格。任何与利用者或任何后利用恶意活动相关的地址将被标记为不符合赔偿资格。

第3步：索赔提交一旦您的存款在链上确认到恢复存款地址，请在索赔门户上线后提交正式索赔，时间为2月27日星期五 ，并提供以下信息：

• 存入恢复存款地址的IoTeX钱包地址
• 存入恢复存款地址的资产类型和金额
• 您的存款交易哈希（每种资产类型一个哈希）
• 联系信息（电子邮件、Telegram和/或Discord）

第4步：验证与支付

IoTeX基金会将审核并验证每个索赔与链上数据和每个用户实际的存款交易。然后，根据上述层级（即，第1层：≤10,000美元，第2层：>10,000美元）在以太坊区块链上进行赔偿，一旦审核和验证完成。

第5步：持续透明

基金会将定期发布恢复报告，详细说明收到的索赔数量、处理的总价值以及剩余义务的状态。

来自IoTeX基金会的信息

我们对此事件承担全部责任，并急切地采取行动使每位受影响用户得到补偿。IoTeX基金会将对所有桥接基础设施进行独立安全审计，并承诺公开分享审计结果，并实施结构性保障措施，以防止此类事件再次发生。任何网络的强度最终都是通过其应对逆境的能力来衡量的，我们打算树立标准。

在此次桥接利用事件中，IoTeX网络的基本面仍然强劲——IoTeX L1区块链保持安全，我们的核心团队完好无损，承诺比以往更强大，我们社区对构建DePIN和现实世界AI未来的热情不减。IoTeX的最佳时刻仍在前方。感谢您的耐心和持续支持。

- IoTeX基金会