融资信息
专题
链上生态
词条
播客
活动
IoTeX悬赏10%赏金追赃:黑客若48小时内归还盗窃资产将不被追责
BlockBeats 消息,2 月 24 日,IoTeX 宣布,针对其跨链桥 ioTube 遭黑客攻击事件,向攻击者提供 10% 白帽赏金(约 44 万美元),条件是在 48 小时内归还约 440 万美元被盗资产,并承诺不追究法律责任。
此次攻击发生于 2 月 21 日,源于 ioTube 在以太坊侧的验证者私钥被泄露,导致桥合约被非法控制。IoTeX 表示,此事件属于跨链桥运营层面的安全问题,并未影响其 Layer 1 主网或智能合约本身。
IoTeX 联合创始人兼 CEO Raullen Chai 表示,团队已通过链上信息向攻击者发出不追责声明,并称已追踪到相关资金流向,包括约 66.6 枚 BTC(约合 430 万美元)存放于多个比特币地址。同时,相关交易平台充值地址已被标记与冻结。
安全机构 PeckShield 估算本次事件波及资产或超过 800 万美元,部分资产已兑换为 ETH 并通过 THORChain 跨链至 BTC。IoTeX 随后将损失修正为约 430 万美元,称该数据不包含额外铸造代币。
IoTeX 同时宣布将发布主网升级版本 v2.3.4,新增默认恶意地址黑名单机制,并要求节点运营者尽快完成升级。团队表示,若资产未能追回,将在 48 小时内公布赔付方案。
AI 解读
跨链桥作为连接不同区块链的关键基础设施,其安全性一直是行业的核心挑战。IoTeX此次事件再次暴露了跨链桥在私钥管理和运营层面的脆弱性。私钥泄露导致桥合约被非法控制,属于典型的多签或托管机制失效案例,这类问题在过往跨链桥攻击中屡见不鲜。
从应对策略来看,IoTeX团队采取了相对务实的处理方式:通过链上追踪明确资金流向、与交易平台合作冻结相关地址、并提出“10%赏金+不追责”的协商方案。这种组合拳在以往案例中已被证明是有效的资产回收手段,尤其在攻击者身份可追踪或资金尚未完全洗白时。但需注意,这种妥协方案也可能被解读为变相鼓励攻击行为,需谨慎权衡。
相关文章进一步印证了跨链桥的安全困境:2022年跨链桥安全事件损失占比超过50%,且涉及THORChain、Poly Network等多个头部项目。根本原因在于跨链桥往往需要中心化或半中心化的托管机制,成为单点故障的高危目标。尽管行业正在探索无需信任的跨链方案(如LayerZero的轻节点模式、ZetaChain的原生跨链智能合约),但技术成熟度和通用性仍需时间验证。
此次事件中,IoTeX强调其Layer1主网和智能合约未受影响,这符合跨链桥攻击通常局限于桥接合约本身的特点。但用户资产的安全边界始终以最薄弱环节为准,因此跨链桥的安全审计、多签方案的分布式管理、以及实时监控机制都需进一步提升。
最后,主网升级引入恶意地址黑名单机制是积极的应对措施,但这也凸显了去中心化系统在面对攻击时仍需要中心化干预的悖论。长期来看,跨链安全需要更底层的解决方案,例如通过零知识证明验证跨链状态,或采用共识层集成的互操作协议,但这类方案的实施成本和兼容性仍是重大挑战。
从应对策略来看,IoTeX团队采取了相对务实的处理方式:通过链上追踪明确资金流向、与交易平台合作冻结相关地址、并提出“10%赏金+不追责”的协商方案。这种组合拳在以往案例中已被证明是有效的资产回收手段,尤其在攻击者身份可追踪或资金尚未完全洗白时。但需注意,这种妥协方案也可能被解读为变相鼓励攻击行为,需谨慎权衡。
相关文章进一步印证了跨链桥的安全困境:2022年跨链桥安全事件损失占比超过50%,且涉及THORChain、Poly Network等多个头部项目。根本原因在于跨链桥往往需要中心化或半中心化的托管机制,成为单点故障的高危目标。尽管行业正在探索无需信任的跨链方案(如LayerZero的轻节点模式、ZetaChain的原生跨链智能合约),但技术成熟度和通用性仍需时间验证。
此次事件中,IoTeX强调其Layer1主网和智能合约未受影响,这符合跨链桥攻击通常局限于桥接合约本身的特点。但用户资产的安全边界始终以最薄弱环节为准,因此跨链桥的安全审计、多签方案的分布式管理、以及实时监控机制都需进一步提升。
最后,主网升级引入恶意地址黑名单机制是积极的应对措施,但这也凸显了去中心化系统在面对攻击时仍需要中心化干预的悖论。长期来看,跨链安全需要更底层的解决方案,例如通过零知识证明验证跨链状态,或采用共识层集成的互操作协议,但这类方案的实施成本和兼容性仍是重大挑战。
展开
纠错/举报
纠错/举报
提交
新增文库
仅自己可见
公开
保存
选择文库
新增文库
取消
完成