Por Angel Di Matteo 𝕏 @shadowargelIoTeX ofreció una recompensa del 10% y prometió no presentar cargos si los responsables del exploit del puente entre cadenas ioTube devuelven los fondos en 48 horas. Mientras el equipo asegura que la capa principal no se vio comprometida, el caso abre un debate sobre responsabilidad, custodia de claves y las probabilidades reales de recuperar activos ya enrutados a través de múltiples redes, incluida Bitcoin.
***
- IoTeX ofrece una recompensa del 10% (unos USD $440.000) si se devuelven cerca de USD $4,4 millones en 48 horas, y dice que no tomará acciones legales.
- El incidente del 21 de febrero se originó en una clave privada de validación comprometida del lado de Ethereum de ioTube; expertos lo describen como una falla operativa, no un defecto en la capa principal.
- La empresa rastreó fondos hasta direcciones con alrededor de 66,6 BTC y prepara una actualización (mainnet v2.3.4) con lista negra, aunque especialistas advierten que recuperar activos puenteados puede ser poco probable.
IoTeX lanzó una oferta directa a los responsables del exploit contra su puente entre cadenas ioTube: una recompensa del 10% y el compromiso de no presentar cargos, siempre que los fondos robados, o su equivalente, sean devueltos en un plazo de 48 horas. La propuesta apunta a recuperar aproximadamente USD $4,4 millones, con un pago estimado de USD $440.000 para el actor o los actores que ejecutaron el ataque.
Raullen Chai, cofundador y CEO de IoTeX, explicó a CoinDesk que el equipo no impulsará acciones legales si los activos regresan dentro del periodo fijado. También indicó que el equipo envió un mensaje en la cadena ofreciendo no compartir información identificatoria con autoridades si se devuelve lo que aún falta por recuperar.
La publicación con la oferta fue publicada por IoTeX en X. Chai dijo a CoinDesk que esa publicación debía tomarse “como una fuente de verdad” para el seguimiento del caso. En el mensaje, la plataforma afirmó que los movimientos de fondos a través de Ethereum, IoTeX y Bitcoin fueron completamente rastreados.
De acuerdo con ese mismo mensaje en cadena, IoTeX identificó depósitos en exchanges y estos habrían sido congelados. La propuesta se centra en el retorno “de los fondos restantes”, sugiriendo que parte del flujo ya había avanzado hacia otras rutas de conversión y transferencia dentro del ecosistema cripto.
Qué pasó el 21 de febrero: una clave privada comprometida en el lado de Ethereum
El exploit ocurrió el 21 de febrero de 2026 y, según la información reportada por CoinDesk, se originó por una clave privada de validación comprometida en el lado de Ethereum del puente ioTube. Esa condición habría permitido control no autorizado sobre los contratos del puente, provocando el desvío de millones de dólares en activos.
IoTeX afirmó que el incidente está “bajo control” y recalcó que su red Blockchain no fue afectada. En su encuadre del problema, la brecha quedó aislada a la infraestructura del puente del lado de Ethereum, una distinción clave para el debate de responsabilidades en sistemas conectados por puentes entre cadenas.
Nick Motz, CEO de ORQO Group y CIO de Soil, dijo a CoinDesk que ioTube es el puente cruzado de IoTeX construido y mantenido por su equipo. Señaló que la violación se redujo a una clave privada de validador comprometida en Ethereum, lo que describió como un fallo de seguridad operativo y no como una vulnerabilidad de contrato inteligente descubierta por un actor externo.
Motz coincidió en que la capa principal de IoTeX no se vio comprometida, pero añadió que los fondos de los usuarios se confiaron específicamente al puente. Para el ejecutivo, cuando un equipo construye y opera la infraestructura del puente, y la gestión de claves falla, resulta difícil distanciarse del resultado para efectos de responsabilidad.
IOTX cae 22% tras conocerse el exploit
El episodio impactó el precio del token IOTX. Según CoinDesk, el activo cayó alrededor de 22% después del exploit, pasando de USD $0,0054 a menos de USD $0,0042, antes de registrar una recuperación parcial. La magnitud del movimiento ilustra cómo los incidentes de seguridad en infraestructura crítica pueden afectar la confianza del mercado en poco tiempo.
Para lectores nuevos, los puentes entre cadenas permiten mover valor y tokens entre redes distintas. Esa funcionalidad abre oportunidades en DeFi y en la interoperabilidad, pero también concentra riesgo, ya que un fallo en el puente puede comprometer fondos que no dependen del consenso de una sola cadena.
En ese contexto, los hacks de puentes han sido un vector recurrente en los últimos años. El reporte citado por CoinDesk menciona que se han perdido más de USD $3.200 millones debido a ataques contra puentes entre cadenas, lo que los convierte en objetivos de alto interés para actores con capacidades avanzadas.
La caída de IOTX no prueba por sí sola la solidez o debilidad de la capa principal, pero sí refleja el peso que el mercado asigna a la seguridad de los componentes periféricos. Para muchos usuarios, el puente es la puerta de entrada real a una red, y su riesgo se percibe como parte del producto.
Rastreo y disputa por el monto: de USD $4,3 millones a más de USD $8 millones
Las estimaciones sobre el impacto económico no han sido uniformes. CoinDesk reportó que la firma de seguridad PeckShield calculó que más de USD $8 millones en activos fueron afectados. En su lectura, el atacante habría intercambiado fondos a Ether (ETH) y comenzó a transferirlos a Bitcoin (BTC) a través de THORChain.
Otro investigador en cadena, Specter, escribió en X que “la clave privada de @iotex_io podría haber sido comprometida”, con una pérdida estimada de USD $4,3 millones. En paralelo, IoTeX también revisó su cifra al alza a aproximadamente USD $4,3 millones, describiéndola como el drenaje directo de activos, pero excluyendo tokens emitidos.
Motz sugirió a CoinDesk que las estimaciones más amplias podrían capturar mejor la severidad de la violación. El matiz importa porque en algunos incidentes el atacante no solo drena activos con valor de mercado, sino que también afecta tokens representativos o emitidos, cuyo tratamiento contable y de riesgo puede ser distinto.
En todo caso, el rastro del dinero resulta central para el intento de recuperación. La nota de CoinDesk deja claro que, una vez los activos se intercambian y se enrutan por infraestructuras que facilitan swaps y movimientos cross-chain, la capacidad de revertir o recuperar se reduce de forma drástica.
66,6 BTC monitoreados, exchanges contactados y una actualización con lista negra
IoTeX afirmó que identificó cuatro direcciones de bitcoin que contienen 66,78 BTC, valorados cerca de USD $4,3 millones a precios del momento. CoinDesk indicó que esas direcciones están siendo monitoreadas en cooperación con intercambios. Una revisión de CoinDesk el 23 de febrero confirmó que contenían aproximadamente 66,6 BTC.
En el plano operativo, Chai dijo que IoTeX está lanzando una nueva versión de la red, mainnet v2.3.4, que requiere actualización por parte de los operadores de nodo. Según explicó, esta versión incorpora una lista negra predeterminada de direcciones EOA (cuentas externas) consideradas maliciosas o problemáticas, que serán filtradas por el nodo.
La introducción de una lista negra en el software de nodo suele generar debate en comunidades cripto, porque toca temas de neutralidad, censura y coordinación. Aun así, este tipo de medidas también se plantea como herramienta de contención cuando se busca reducir la capacidad de un atacante para seguir operando dentro de un sistema.
El propio artículo subraya una idea clave expresada por Motz: contención no es lo mismo que recuperación. Desde su perspectiva, los activos con valor de mercado real ya fueron intercambiados y puenteados, y por eso serían poco probables de recuperar, incluso si parte del flujo puede monitorearse o congelarse al tocar infraestructura centralizada.
Responsabilidad y custodia de claves: el punto delicado tras el incidente
El caso de IoTeX reavivó el debate sobre quién asume la responsabilidad cuando el fallo ocurre en la operación del puente y no en el código base de una cadena. Motz dijo a CoinDesk que, si la infraestructura del puente y la gestión de claves son operadas por el equipo, resulta difícil separarse del resultado para los usuarios que confiaron fondos al sistema.
Nanak Nihal Khalsa, cofundador de human.tech, añadió en declaraciones a CoinDesk que la responsabilidad en cripto suele reducirse a la custodia de claves. “Sí, quien sea que tenga la clave privada es responsable de asegurarla”, dijo, aunque también reconoció que la razonabilidad de esa expectativa sigue abierta a discusión.
Khalsa sostuvo que las normas de responsabilidad en la industria aún lucen inestables frente a las finanzas tradicionales. También pidió configuraciones más robustas, como billeteras con mejores prácticas y esquemas multisig, para reducir el riesgo de que una sola clave comprometida habilite pérdidas de gran escala.
Motz remató con una observación más amplia: el compromiso de claves privadas, más que los errores en contratos inteligentes, está emergiendo como un vector de ataque dominante. Bajo esa lectura, el desafío de seguridad ya no se limita a auditar código, sino a fortalecer operaciones, controles y procesos alrededor de llaves críticas.
Recuperación incierta y próximos pasos: recompensa, negociación y compensación
El ruteo de fondos a través de THORChain aparece como un factor que complica el panorama. Motz dijo a CoinDesk que cuando los activos se enrutan por esa vía, la recuperación se vuelve “extremadamente difícil”. La advertencia apunta a la realidad de un ecosistema donde la liquidez y la interoperabilidad también pueden facilitar la dispersión del botín.
Khalsa coincidió con la cautela. “Es difícil predecir cuánto, si es que algo, se puede recuperar”, declaró a CoinDesk, en un recordatorio de que el rastreo en cadena no garantiza reversión. En muchos casos, la única vía realista pasa por congelamientos en puntos centralizados o por una devolución voluntaria.
Antes de ofrecer la recompensa del 10%, IoTeX había dicho que un plan de compensación estaría en marcha en las próximas 48 horas. Ese compromiso convive ahora con la negociación abierta hacia el atacante, en un intento por maximizar la devolución y reducir daños a usuarios, sin dejar de reforzar medidas de contención.
Artículo escrito con ayuda de un redactor de contenido de IA, editado por Angel Di Matteo / DiarioBitcoin
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Step Finance anuncia cierre de la plataforma tras hackeo de USD $26 millones
Anthropic acusa a DeepSeek, Moonshot y MiniMax de destilar Claude con 16 millones de consultas
Agente de IA regaló USD $441.000 en memecoins tras una solicitud en redes
