Compromiso de clave de validador en ioTube de IoTeX

El 21 de febrero de 2026, el puente cross-chain ioTube de la blockchain IoTeX fue drenado por aproximadamente 4,3 millones de dólares tras un compromiso de clave de validador que dio al atacante control total sobre el contrato TokenSafe del lado de Ethereum del puente. El atacante también acuñó 111 millones de tokens CIOTX (~4 M$) y 9,3 millones de tokens CCS (~4,5 M$) en el lado de la cadena. El token IOTX cayó un 22% tras el suceso; la IoTeX Foundation se comprometió a la compensación 100% al usuario desde la tesorería.

Qué ocurrió

ioTube era el puente cross-chain de IoTeX que conectaba la blockchain IoTeX con Ethereum y otras redes EVM. La autorización de retiro del puente dependía de firmas de una clave de validador: comprometer esta clave significaba control total sobre las reservas del puente.

El atacante:

1. Obtuvo la clave privada del validador mediante un vector que no se detalló públicamente (consistente con compromiso de endpoint de una máquina de operador validador).
2. Drenó el contrato TokenSafe en Ethereum por aproximadamente 4,3 M$ en activos mixtos: USDC, USDT, IOTX, WBTC, BUSD.
3. Usó la autoridad del validador en el lado de la cadena IoTeX para acuñar 111 M de CIOTX y 9,3 M de tokens CCS: representaciones envueltas de la cadena IoTeX que deberían haber estado respaldadas 1:1 por depósitos.
4. Cambió los activos drenados a ETH mediante Uniswap y otros agregadores DEX.
5. Bridgeó aproximadamente 45 ETH a la red Bitcoin para mayor ofuscación.

Consecuencias

• IoTeX pausó el puente ioTube e hizo blacklist a 29 direcciones del hacker en el lado de la cadena.
• La IoTeX Foundation se comprometió al 100% de compensación al usuario con reservas de tesorería.
• Las operaciones de mainnet se reanudaron el 24 de febrero tras implementar mejoras de seguridad.
• La Foundation ofreció inicialmente una recompensa de 440K$ (10%) por la devolución de los fondos; el atacante no aceptó públicamente.
• Hubo algo de recuperación mediante coordinación con exchanges que congelaron direcciones señaladas; la mayor parte de los fondos permaneció lavada.

Por qué importa

El incidente de IoTeX continúa un patrón de varios años de compromisos de clave de validador que producen pérdidas medianas en puentes. La forma estructural —conjunto pequeño de validadores, autoridad de una sola clave sobre reservas significativas, ruta del atacante desde el compromiso de clave hasta el drenaje del puente— se ha repetido en:

• Ronin (mar 2022, 625 M$) — 5 de 9 claves de validador.
• Harmony (jun 2022, 100 M$) — 2 de 5 claves de validador.
• Orbit Chain (ene 2024, 82 M$) — 7 de 10 claves de validador.
• IoTeX (feb 2026, 4,4 M$) — una sola clave de validador, escala menor pero patrón idéntico.

Las respuestas defensivas —conjuntos de validadores más grandes, comités de atestación con slashing, configuraciones multi-DVN, criptografía de umbral que impide la extracción de una sola clave— se han documentado durante años y siguen siendo adoptadas de manera desigual en las implementaciones de puentes.

El compromiso de compensación 100% de la IoTeX Foundation es la respuesta cada vez más estándar para proyectos con profundidad de tesorería, y una que cada vez más se asume por los usuarios como expectativa basal post-Bybit. El coste reputacional de una compensación parcial, particularmente para un proyecto a nivel de cadena donde el valor del token depende de la confianza del ecosistema, ha hecho la compensación completa efectivamente obligatoria para cualquier proyecto que quiera seguir operando.