Exploit del bridge IoTeX scuote il mercato: dibattito su perdite e prospettive di recupero mentre l’amministratore delegato offre ricompensa del 10%

IoTeX ha annunciato un’offerta di ricompensa del 10% a favore del soggetto — o dei soggetti — che, avendo sfruttato una chiave privata compromessa sul bridge cross-chain ioTube, restituisca volontariamente i fondi sottratti entro 48 ore.

L’iniziativa prevede un pagamento di circa 440.000 dollari quale incentivo alla restituzione di oltre 4 milioni di dollari trafugati; la cifra precisa stimata dall’azienda è stata aggiornata in seguito alle analisi on‑chain e riflette la conversione degli asset in bitcoin monitorati dagli operatori della rete.

Dettagli dell’offerta e messaggio ufficiale

Secondo la comunicazione diffusa dai vertici del progetto, è stato inviato un messaggio on‑chain che offre di non intraprendere azioni legali né di condividere informazioni identificative con le autorità qualora i fondi residui vengano restituiti.

Raullen Chai ha dichiarato:

“Tutti i movimenti dei fondi su Ethereum, IoTeX e bitcoin sono stati completamente tracciati.”

Nella stessa comunicazione l’azienda ha reso noto che i depositi verso gli exchange sono stati segnalati e congelati, e che l’offerta di ricompensa è condizionata alla restituzione delle somme rimanenti entro il termine stabilito.

Contenimento tecnico e aggiornamento della rete

Per mitigare nuovi rischi, IoTeX ha predisposto il rilascio di una nuova versione della catena, Mainnet v2.3.4, chiedendo agli operatori di nodo di eseguire l’aggiornamento obbligatorio. Tra le modifiche è prevista l’introduzione di una blacklist predefinita di indirizzi EOA considerati malevoli.

Secondo la nota aziendale, l’exploit ha interessato solamente l’infrastruttura lato Ethereum del bridge e non ha compromesso il livello base (Layer 1) della blockchain native, che rimane operativa.

Origine dell’attacco e vulnerabilità operative

L’incidente è stato ricondotto al furto della chiave privata di un proprietario di validator, che ha consentito il controllo non autorizzato dei contratti del bridge ioTube. Questo tipo di compromissione è stato categorizzato come un problema di sicurezza operativa piuttosto che come una falla nei contratti smart della Layer 1.

Nick Motz ha osservato:

“Quando la gestione delle chiavi fallisce nell’infrastruttura del bridge, è difficile prescindere dalla responsabilità operativa: non si tratta tanto di un bug di smart contract quanto di una falla nella custody.”

L’episodio mette in evidenza come la custodia delle chiavi private e le procedure di gestione degli accessi (come wallet multi‑firma e processi di approvazione distribuita) siano elementi critici nella sicurezza delle infrastrutture cross‑chain.

Valutazioni sulle perdite e difficoltà di recupero

Le stime relative all’ammontare sottratto sono divergenti: analisi on‑chain condotte da diverse società di sicurezza e ricercatori indipendenti hanno prodotto cifre che vanno da circa 4,3 milioni di dollari fino a importi superiori, a seconda dei criteri adottati (inclusione o esclusione di token appena coniati o convertiti).

La società ha identificato quattro indirizzi bitcoin contenenti complessivamente circa 66,78 BTC, equivalenti a un valore vicino a 4,3 milioni di dollari alle quotazioni correnti, e ha dichiarato di monitorare questi indirizzi cooperando con gli exchange per segnalare e congelare i depositi riconducibili all’attacco.

Nick Motz ha commentato:

“Il contenimento non equivale al recupero. Gli asset con valore di mercato sono stati scambiati e bridgati: nella mia valutazione è improbabile recuperarli interamente.”

Altri osservatori hanno sottolineato che, una volta che i fondi transitano attraverso protocolli di swap e bridging come THORChain o vengono riconvertiti in ETH e poi in BTC, le possibilità di recupero si riducono significativamente a causa della natura decentralizzata di tali flussi e delle difficoltà legali e tecniche nell’innescare un rimpatrio forzato.

Contesto del settore e impatto sulle fiducie cross‑chain

I bridge cross‑chain rappresentano da anni un punto critico per la sicurezza del settore crypto: attacchi analoghi hanno in passato causato perdite per miliardi di dollari complessivi, evidenziando come gli attori maligni privilegino vettori che colpiscono la gestione operativa delle chiavi e l’infrastruttura di bridging.

La vicenda rafforza la necessità di standard più rigidi per la custody (compresi wallet multisig con soglie elevate, hardware security modules e processi di due‑o più livelli per la firma delle transazioni), nonché di pratiche di auditing operativo ripetute e di programmi di bug bounty mirati all’infrastruttura di gestione delle chiavi.

Raccomandazioni e prossimi passi

Tra le misure immediate indicate figurano l’adozione del Mainnet v2.3.4 da parte degli operatori di nodo, l’implementazione della blacklist di indirizzi malevoli a livello di nodo, il monitoraggio continuo degli indirizzi sospetti e la cooperazione con piattaforme di scambio per bloccare i movimenti verificabili dei fondi sottratti.

Nanak Nihal Khalsa ha commentato:

“La responsabilità nel mondo crypto spesso ricade su chi detiene la chiave privata. È fondamentale migliorare gli standard di custody e adottare soluzioni multisig più robuste per ridurre il rischio di ripetizione di eventi simili.”

Infine, IoTeX ha annunciato che entro 48 ore sarebbe stato definito un piano di compensazione per le parti coinvolte e che la ricompensa del 10% sarebbe stata erogata solo se i fondi rimanenti fossero stati restituiti secondo le condizioni comunicate.

Resta comunque aperta la questione della responsabilità più ampia nel settore e delle possibili azioni legali o amministrative nel caso in cui i tentativi di recupero e l’offerta di ricompensa non producano il risultato sperato.