Compromission de clé validateur du pont ioTube d'IoTeX

Le 21 février 2026, le pont cross-chain ioTube de la blockchain IoTeX a été drainé d'environ 4,3 millions de dollars après qu'une compromission de clé validateur a donné à l'attaquant le contrôle complet du contrat TokenSafe côté Ethereum du pont. L'attaquant a aussi minté 111 millions de tokens CIOTX (~4 M$) et 9,3 millions de tokens CCS (~4,5 M$) côté chaîne. Le token IOTX a chuté de 22 % dans les suites ; la IoTeX Foundation s'est engagée à une compensation utilisateur à 100 % depuis la trésorerie.

Ce qui s'est passé

ioTube était le pont cross-chain d'IoTeX reliant la blockchain IoTeX à Ethereum et autres réseaux EVM. L'autorisation de retrait du pont dépendait de signatures d'une clé validateur — la compromission de cette clé signifiait un contrôle complet sur les réserves du pont.

L'attaquant :

1. A obtenu la clé privée du validateur via un vecteur qui n'a pas été détaillé publiquement (cohérent avec une compromission endpoint d'une machine d'opérateur validateur).
2. A drainé le contrat TokenSafe sur Ethereum d'environ 4,3 M$ en actifs mixtes : USDC, USDT, IOTX, WBTC, BUSD.
3. A utilisé l'autorité de validateur côté chaîne IoTeX pour minter 111M CIOTX et 9,3M CCS tokens — représentations wrapped côté chaîne IoTeX qui auraient dû être backées 1:1 par des dépôts.
4. A swappé les actifs drainés en ETH via Uniswap et d'autres agrégateurs DEX.
5. A bridgé environ 45 ETH vers le réseau Bitcoin pour obfuscation supplémentaire.

Conséquences

• IoTeX a mis en pause le pont ioTube et blacklisté 29 adresses du hacker côté chaîne.
• La IoTeX Foundation s'est engagée à une compensation utilisateur à 100 % depuis les réserves de trésorerie.
• Les opérations mainnet ont repris le 24 février après l'implémentation des mises à niveau de sécurité.
• La Fondation a initialement offert un bounty de 440 K$ (10 %) pour le retour des fonds ; l'attaquant n'a pas accepté publiquement.
• Une certaine récupération s'est produite via la coordination avec les exchanges qui ont gelé les adresses signalées ; l'essentiel des fonds est resté blanchi.

Pourquoi c'est important

L'incident IoTeX poursuit un pattern pluriannuel de compromissions de clé validateur produisant des pertes de pont de taille moyenne. La forme structurelle — petit ensemble de validateurs, autorité de clé unique sur des réserves significatives, chemin d'attaquant depuis la compromission de clé jusqu'au drainage du pont — s'est répétée chez :

• Ronin (mars 2022, 625 M$) — 5 sur 9 clés validateur.
• Harmony (juin 2022, 100 M$) — 2 sur 5 clés validateur.
• Orbit Chain (janv. 2024, 82 M$) — 7 sur 10 clés validateur.
• IoTeX (févr. 2026, 4,4 M$) — clé validateur unique, échelle plus petite mais pattern identique.

Les réponses défensives — ensembles de validateurs plus larges, comités d'attestation avec slashing imposé, configurations multi-DVN, cryptographie à seuil empêchant l'extraction de clé unique — ont été documentées depuis des années et continuent d'être inégalement adoptées dans les implémentations de ponts.

L'engagement de compensation à 100 % de la IoTeX Foundation est la réponse de plus en plus standard pour les projets avec profondeur de trésorerie — et qui est de plus en plus supposée par les utilisateurs comme attente de base post-Bybit. Le coût réputationnel d'une compensation partielle, particulièrement pour un projet au niveau chaîne où la valeur du token dépend de la confiance dans l'écosystème, a rendu la compensation totale effectivement obligatoire pour tout projet souhaitant continuer à opérer.