$4,4 миллиона и дыра в бюджете. Рассказываем, как взломщики обчистили резервы моста IoTeX

В сети IoTeX произошёл крупный инцидент, который затронул межсетевой мост ioTube и привёл к выводу миллионов долларов. Команда проекта заявила, что атаку обнаружили 21 февраля 2026 года и почти сразу перешли в режим экстренного реагирования. По предварительным данным, за взломом стоит подготовленная группа, действовавшая по схеме, похожей на громкие атаки в секторе децентрализованных финансов.

Главное, на чём настаивает IoTeX, – сама сеть первого уровня IoTeX не пострадала. Её механизм консенсуса и базовые смарт-контракты работают в штатном режиме. Токены IOTX в основной сети и на централизованных биржах также не затронуты. Уязвимость коснулась только части моста ioTube в сети Ethereum. Контракты моста в других сетях, включая BNB Smart Chain и Base, остались целыми.

Атакующий получил контроль над учётной записью владельца контракта валидатора в сети Ethereum. Это дало ему административные права. Затем он обновил контракт валидатора на вредоносную версию, которая игнорировала проверки подписей и подтверждений. После этого злоумышленник взял под контроль контракты MintPool, отвечающий за выпуск токенов, и TokenSafe, где хранились резервы. В итоге он выпустил 410 млн CIOTX и вывел из резервов моста активы примерно на 4,4 млн долларов.

По данным команды, большую часть выпущенных токенов уже удалось заблокировать или заморозить. Более 86% из 410 млн CIOTX находятся под контролем проекта благодаря возможностям самой сети. Ещё 12,8% – это 52,4 млн IOTX – отследили до биржи Binance, с которой сейчас ведётся работа по заморозке средств через саму площадку и партнёрские сервисы обмена. Лишь 0,4%, около 1,7 млн токенов, успели обменять через децентрализованные биржи. Этот объём считают наиболее проблемным.

Отдельно команда описала ситуацию с резервами моста. Похищенные USDC, USDT, WBTC, WETH и другие активы злоумышленник обменял на 2 183 ETH. Из них около 1 572 ETH затем перевели в сеть Bitcoin через протокол THORChain. Сейчас, по информации IoTeX, выявлены четыре адреса в сети Bitcoin, на которых хранится 66,78 BTC. Средства пока не потрачены, адреса находятся под круглосуточным наблюдением.

В IoTeX сообщили, что уже распространяют обновление для делегатов сети. После установки исправлений и набора достаточного числа обновлённых узлов работа сети должна полностью восстановиться автоматически. Возобновление вывода средств на биржах ожидается в течение 24–48 часов, депозиты обещают открыть вскоре после этого. В ближайшие двое суток команда также проведёт открытую сессию вопросов и ответов для сообщества и опубликует план компенсаций пользователям моста.

Работу ioTube приостановили во всех сетях до завершения независимого аудита безопасности. Проект намерен ускорить внедрение предложения IIP-55, которое предполагает децентрализацию проверки операций моста и отказ от единой точки отказа. Также заявлены мультиподпись и 24-часовая временна́я задержка для критически важных операций, ограничения на объёмы транзакций и расширенная программа вознаграждений за найденные уязвимости.

Кроме того, команда обратилась к правоохранительным органам и аналитическим компаниям, отслеживающим операции в блокчейнах. Адрес атакующего в сети Ethereum помечен на сервисе Etherscan. Злоумышленнику планируют отправить сообщение в блокчейне с предложением вознаграждения за добровольный возврат средств.

IoTeX подчёркивает, что намерен полностью компенсировать потери пострадавшим пользователям моста. Подробный план обещают представить в течение 48 часов.