حملهای که در ۲۱ فوریه ۲۰۲۶ بهدنبال افشای کلید خصوصی یکی از ولیدیتورهای پل بلاک چینی ioTube رخ داد، میلیونها دلار از دارایی کاربران آیوتکس (IoTeX) را جابهجا کرد و موجی از نگرانیهای امنیتی بهوجود آورد. با وجود این نفوذ، تیم توسعهدهنده تاکید کرده است که هسته بلاک چین و قراردادهای هوشمند پروژه در این حادثه آسیب ندیده و مشکل تنها به زیرساخت پل محدود بوده است.
به گزارش میهن بلاکچین، آیوتکس برای کاهش خسارتها و تشویق مهاجم به بازگرداندن داراییها، اعلام کرده است که اگر ۴.۴ میلیون دلار دارایی منتقلشده طی ۴۸ ساعت بازگردانده شود، ۱۰ درصد این مبلغ را بهعنوان جایزه کلاه سفید پرداخت میکند. ارزش این پاداش حدود ۴۴۰ هزار دلار است و هدف از آن، بازیابی هرچه بیشتر سرمایه کاربران اعلام شده است.
پیشنهاد رسمی آیوتکس به هکرها
رالین چای (Raullen Chai)، مدیرعامل آیوتکس، در پیامی آنچین اعلام کرده است که تمام مسیرهای انتقال داراییها در شبکههای اتریوم، آیوتکس و بیت کوین ردیابی شده و سپردههای مرتبط با حمله در همکاری با صرافیها مسدود شده است. او گفته است درصورتیکه هکر باقیمانده وجوه را برگرداند، پروژه نه تنها شکایتی ثبت نمیکند، بلکه هیچ اطلاعاتی را هم به نهادهای قانونی ارائه نخواهد داد.
چای تاکید کرده است که هدف آیوتکس از این پیشنهاد، ایجاد فرصتی برای بازگرداندن داراییهای کاربران بدون پیچیدهتر شدن ابعاد حقوقی ماجرا است. این شیوه در برخی رخدادهای مشابه نیز به بازگشت بخشی از سرمایهها کمک کرده است.
علت حمله و وضعیت پل ioTube
بررسیها نشان میدهد که مهاجم پس از دسترسی به کلید خصوصی ولیدیتور، توانسته کنترل بخشی از عملیات پل بلاک چینی را در سمت اتریوم به دست بگیرد. آیوتکس با انتشار پستی اعلام کرده است که این رخداد ارتباطی با لایه اصلی شبکه ندارد و تنها یک مشکل عملیاتی در مدیریت کلیدها بوده است.
در همین راستا، تیم توسعه نسخه جدیدی از شبکه اصلی با نام Mainnet v2.3.4 را آماده کرده است؛ نسخهای که شامل فهرست سیاه پیشفرضی از آدرسهای مخرب خواهد بود و تمام نودهای شبکه باید آن را نصب کنند. این تغییر برای جلوگیری از تکرار حملاتی مشابه طراحی شده است.
اختلاف در برآورد میزان خسارت
پس از انتشار خبر حمله، شرکت امنیتی پکشیلد اعلام کرد که ارزش داراییهای تحت تاثیر بیش از ۸ میلیون دلار بوده و مهاجم بخش زیادی از آن را به اتر تبدیل کرده و از طریق تورچین به بیت کوین منتقل کرده است. این اقدام، معمولا شناسایی و بازیابی داراییها را دشوار میکند. از سوی دیگر، تحلیلگران دیگری مانند اسپکتر (Specter) میزان ضرر را حدود ۴.۳ میلیون دلار برآورد کردهاند.
آیوتکس اعلام کرده است که چهار آدرس بیت کوین را شناسایی کرده است که مجموعا حدود ۶۶.۷ BTC در اختیار دارند. کویندسک هم در بررسیهای انجامشده تایید کرده است که این مقدار در زمان بررسی حدود ۶۶.۶ بیت کوین بوده است. با این حال کارشناسان امنیتی باور دارند که انتقال داراییها به چند شبکه مختلف و استفاده از مسیرهای میانزنجیرهای، احتمال بازگرداندن آنها را بسیار کم میکند.
مسئولیت امنیتی و پیامدهای حمله
متخصصان امنیت بلاک چین میگویند چنین حملاتی بار دیگر نشان میدهد که مدیریت کلیدهای خصوصی تا چه اندازه حساس است. به گفته آنها، وقتی تیم توسعهدهنده مسئول نگهداری این کلیدها است، جداسازی مسئولیت پروژه از نتیجه نهایی حمله کار سادهای نیست. اگرچه هسته شبکه IoTeX آسیب ندیده، اما اعتبار و اعتماد کاربران به عملکرد پل تحتتاثیر قرار گرفته است.
این وضعیت در بازار توکن IOTX نیز بازتاب پیدا کرد و قیمت آن پس از حادثه حدود ۲۲ درصد کاهش یافت و از ۰.۰۰۵۴ دلار به حدود ۰.۰۰۴۲ دلار رسید. البته بخشی از این ریزش در ادامه جبران شد.
اقدامات بعدی آیوتکس
پیش از ارائه پیشنهاد پاداش، آیوتکس اعلام کرده بود که برنامهای برای جبران خسارت کاربران ظرف ۴۸ ساعت آماده خواهد شد. با وجود کنترل اولیه حادثه، اختلاف در برآورد میزان خسارت و مسیرهای انتقال استفادهشده توسط مهاجم نشان میدهد که بازگرداندن تمام داراییها هنوز قطعی نیست.
