IoTeX ioTube Bridge Key-Kompromittierung

Am 21. Februar 2026 wurde die Cross-Chain-Bridge ioTube der IoTeX-Blockchain um rund 4,3 Millionen $ drainiert, nachdem eine Validator-Key-Kompromittierung dem Angreifer volle Kontrolle über den Ethereum-seitigen TokenSafe-Contract der Bridge gab. Der Angreifer mintete auch 111 Millionen CIOTX-Tokens (rund 4 Mio. $) und 9,3 Millionen CCS-Tokens (rund 4,5 Mio. $) auf der Chain-Seite. Der IOTX-Token fiel anschließend um 22 %; die IoTeX Foundation verpflichtete sich zur 100-%-Nutzer-Entschädigung aus der Treasury.

Was geschah

ioTube war IoTeX' Cross-Chain-Bridge, die die IoTeX-Blockchain mit Ethereum und anderen EVM-Netzwerken verband. Die Withdraw-Autorisierung der Bridge hing von Signaturen eines Validator-Keys ab — die Kompromittierung dieses Keys bedeutete volle Kontrolle über die Reserven der Bridge.

Der Angreifer:

1. Erlangte den Validator-Private-Key über einen Vektor, der nicht öffentlich detailliert wurde (konsistent mit Endpoint-Kompromittierung eines Validator-Operator-Rechners).
2. Drainte den TokenSafe-Contract auf Ethereum um rund 4,3 Mio. $ in gemischten Assets: USDC, USDT, IOTX, WBTC, BUSD.
3. Nutzte die Validator-Autorität auf der IoTeX-Chain-Seite, um 111M CIOTX und 9,3M CCS-Tokens zu minten — Wrapped-IoTeX-Chain-Repräsentationen, die 1:1 durch Einlagen gedeckt sein sollten.
4. Swappte die drainten Assets in ETH über Uniswap und andere DEX-Aggregatoren.
5. Bridgte rund 45 ETH ins Bitcoin-Netzwerk zur weiteren Verschleierung.

Folgen

• IoTeX pausierte die ioTube-Bridge und blacklistete 29 Hacker-Adressen auf der Chain-Seite.
• Die IoTeX Foundation verpflichtete sich zur 100-%-Nutzer-Entschädigung aus Treasury-Reserven.
• Der Mainnet-Betrieb wurde am 24. Februar wiederaufgenommen, nachdem Sicherheits-Upgrades implementiert waren.
• Die Foundation bot zunächst eine 440K-$-Bounty (10 %) für die Rückgabe an; der Angreifer akzeptierte öffentlich nicht.
• Einige Wiederherstellung erfolgte durch Koordination mit Börsen, die geflaggte Adressen einfroren; der Großteil der Gelder blieb gewaschen.

Warum es wichtig ist

Der IoTeX-Vorfall setzt ein mehrjähriges Muster fort, in dem Validator-Key-Kompromittierungen mittelgroße Bridge-Verluste produzieren. Die strukturelle Form — kleines Validator-Set, Single-Key-Autorität über erhebliche Reserven, Angreifer-Pfad von Key-Kompromittierung zu Bridge-Drain — wiederholt sich bei:

• Ronin (März 2022, 625 Mio. $) — 5 von 9 Validator-Keys.
• Harmony (Juni 2022, 100 Mio. $) — 2 von 5 Validator-Keys.
• Orbit Chain (Jan. 2024, 82 Mio. $) — 7 von 10 Validator-Keys.
• IoTeX (Feb. 2026, 4,4 Mio. $) — einzelner Validator-Key, kleinerer Maßstab, aber identisches Muster.

Die defensiven Antworten — größere Validator-Sets, slashing-erzwungene Attestation Committees, Multi-DVN-Konfigurationen, Threshold-Kryptographie, die Single-Key-Extraktion verhindert — sind seit Jahren dokumentiert und werden über Bridge-Implementierungen hinweg weiterhin ungleichmäßig übernommen.

Das 100-%-Entschädigungs-Versprechen der IoTeX Foundation ist die zunehmend standardmäßige Antwort für Projekte mit Treasury-Tiefe — und eine, die nach Bybit zunehmend von Nutzern als Baseline-Erwartung angenommen wird. Die Reputationskosten einer partiellen Entschädigung, insbesondere bei einem Chain-Level-Projekt, dessen Token-Wert vom Ökosystem-Vertrauen abhängt, haben Voll-Entschädigung faktisch obligatorisch für jedes Projekt gemacht, das weiter operieren will.