4 millones de dólares y un agujero en el presupuesto: contamos cómo los hackers vaciaron las reservas del puente IoTeX
El funcionamiento del puente ioTube está suspendido en todas las redes hasta que concluya la verificación de seguridad.
En la red IoTeX se produjo un incidente grave que afectó al puente entre redes ioTube y llevó a la extracción de millones de dólares. El equipo del proyecto declaró que detectaron el ataque el 21 de febrero de 2026 y que casi de inmediato pasaron a modo de respuesta de emergencia. Según datos preliminares, tras el hack hay un grupo preparado que actuó con un esquema similar al de los ataques de alto perfil en el sector de las finanzas descentralizadas.
Lo principal que enfatiza IoTeX es que la propia red de primer nivel IoTeX no resultó afectada. Su mecanismo de consenso y los contratos inteligentes básicos funcionan con normalidad. Los tokens IOTX en la red principal y en los intercambios centralizados tampoco se vieron afectados. La vulnerabilidad afectó únicamente a una parte del puente ioTube en la red Ethereum. Los contratos del puente en otras redes, incluidas BNB Smart Chain y Base, permanecieron intactos.
El atacante obtuvo control de la cuenta del propietario del contrato de validador en la red Ethereum. Esto le otorgó permisos administrativos. Luego actualizó el contrato del validador a una versión maliciosa que ignoraba las comprobaciones de firmas y confirmaciones. Después, el atacante tomó el control de los contratos MintPool, responsable de la emisión de tokens, y TokenSafe, donde se guardaban las reservas. Como resultado, emitió 410 millones de CIOTX y retiró de las reservas del puente activos por aproximadamente 4,4 millones de dólares.
Según el equipo, la mayor parte de los tokens emitidos ya se han logrado bloquear o congelar. Más del 86% de los 410 millones de CIOTX están bajo control del proyecto gracias a las capacidades de la propia red. Otros 12,8%, es decir 52,4 millones de IOTX, fueron rastreados hasta el exchange Binance, con el que ahora se trabaja para congelar los fondos a través de la propia plataforma y servicios de intercambio asociados. Solo el 0,4%, alrededor de 1,7 millones de tokens, se llegaron a intercambiar mediante exchanges descentralizados. Ese volumen se considera el más problemático.
El equipo describió por separado la situación de las reservas del puente. Los USDC, USDT, WBTC, WETH y otros activos robados los convirtió el atacante a 2 183 ETH. De esos, alrededor de 1 572 ETH se transfirieron luego a la red Bitcoin a través del protocolo THORChain. Ahora, según IoTeX, se han identificado cuatro direcciones en la red Bitcoin que contienen 66,78 BTC. Los fondos aún no se han gastado; las direcciones están bajo vigilancia las 24 horas.
IoTeX informó que ya están distribuyendo una actualización para los delegados de la red. Tras la instalación de las correcciones y con un número suficiente de nodos actualizados, el funcionamiento de la red debería recuperarse completamente de forma automática. Se espera que la reanudación de los retiros en los exchanges ocurra en 24–48 horas; se espera que los depósitos se abran poco después. En las próximas 48 horas el equipo también llevará a cabo una sesión pública de preguntas y respuestas para la comunidad y publicará un plan de compensaciones para los usuarios del puente.
El funcionamiento de ioTube se suspendió en todas las redes hasta la finalización de una auditoría de seguridad independiente. El proyecto pretende acelerar la implementación de la propuesta IIP-55, que prevé la descentralización de la verificación de las operaciones del puente y la eliminación de un único punto de fallo. También se anunciaron multifirma y un retraso temporal de 24 horas para las operaciones críticas, límites en los volúmenes de transacción y un programa ampliado de recompensas por vulnerabilidades encontradas.
Además, el equipo se dirigió a las autoridades y a empresas de análisis que rastrean operaciones en blockchains. La dirección del atacante en la red Ethereum está marcada en el servicio Etherscan. Se planea enviar al atacante un mensaje en la blockchain con una oferta de recompensa por la devolución voluntaria de los fondos.
IoTeX subraya que tiene la intención de compensar completamente las pérdidas a los usuarios afectados del puente. Se promete presentar un plan detallado en el plazo de 48 horas.