IoTeX s'engage à verser une indemnisation à 100 % dans le cadre de son plan de récupération suite au piratage

La Fondation IoTeX s'est engagée à indemniser intégralement tous les utilisateurs touchés par le piratage de la passerelle d'IoTeX la semaine dernière, d'un montant de 4,4 millions de dollars. Elle a promis d'utiliser ses fonds propres pour indemniser les victimes, qu'IoTeX soit en mesure ou non de récupérer les actifs volés à l'attaquant.

Cette annonce faisait suite à leur troisième mise à jourdent , après la reprise complète des opérations du réseau principal d'IoTeX le 24 février, après deux jours de mises à niveau de sécurité qui ont permis de mettre définitivement sur liste noire 29 adresses de pirates informatiques et de geler environ 45 millions de jetons IOTX.

Le piratage a entraîné une chute immédiate du prix d'environ 22 %, passant de 0,0054 $ à environ 0,0042 $. Le jeton a tenté à plusieurs reprises de retrouver sa valeur d'avant le piratage et se négocie actuellement autour de 0,0048 $.

Indemnisation financée par le Trésor, quel que soit le résultat du recouvrement

Dans son dernier rapport, le projet IoTeX a déclaré que « la Fondation IoTeX veillera à ce que chaque utilisateur concerné reçoive une compensation à 100 % ». 

Ils ont également mis au point un système de rémunération divisant les utilisateurs en deux catégories. 

• Le niveau 1 couvre les pertes jusqu'à 10 000 $, ce qui représente la grande majorité des victimes. Elles recevront une indemnisation complète et immédiate en stablecoins ou en actifs natifs Ethereum .
• Les utilisateurs de niveau 2 ayant subi des pertes supérieures à 10 000 $ recevraient immédiatement leurs 10 000 $ initiaux, et leurs soldes seraient répartis sur 12 mois. Ils bénéficieraient également d'un bonus de 10 % sur leurs IOTX mis en jeu annuellement, ce qui leur permettrait de récupérer 110 % de leurs pertes initiales.

Le processus d'indemnisation débutera le vendredi 27 février, date à laquelle IoTeX publiera son adresse officielle de dépôt de remboursement et son portail de réclamation. 

Les utilisateurs concernés doivent retirer tous les actifs transférés via les protocoles DeFi , les transférer à l'adresse de dépôt de récupération en transactions individuelles par type d'actif, puis soumettre des réclamations avec les adresses de portefeuille et les hachages de transaction.

La Fondation vérifiera ensuite chaque demande à l'aide des données de la blockchain avant de verser les compensations sur Ethereum. Toutefois, les utilisateurs sont avertis de ne pas fractionner leurs soldes ni de restructurer leurs avoirs pour contourner les seuils d'éligibilité, car de telles actions entraîneront le signalement des demandes et la perte de l'éligibilité.

La mise à jour du réseau principal bloque définitivement l'accès des attaquants

Le réseau principal IoTeX est pleinement opérationnel depuis le 24 février, Coinbase et MEXC parmi les premières plateformes à rétablir toutes ses fonctionnalités. Binance et Upbit ont ensuite activé les retraits, tandis que Bitget, Gate.io, OKX, Bithumb, KuCoin, HashKey Global et BitMart reprennent progressivement leurs activités. 

IoTeX a collaboré avec plus de 20 partenaires d'échange et a soumis une documentation officielle à la DAXA (Association coréenne des échanges d'actifs numériques).

Le correctif de sécurité a bloqué environ 45 millions de jetons IOTX détenus dans des portefeuilles contrôlés par l'attaquant. Selon le projet, « Ces fonds sont désormais définitivement inaccessibles à l'attaquant. Aucune transaction impliquant ces adresses ne sera plus jamais traitée. »

L'équipe d'IoTeX a également développé ioTrace pour cartographier en temps réel le mouvement des fonds volés à travers les blockchains, ce qui lui permet de tracdes preuves cruciales à travers plusieurs chaînes, plateformes d'échange et des années d'historique de transactions.

IoTeX prévoit également de rendre ioTracopen source afin que d'autres projets puissent lancer des enquêtesdent sans dépendre d'autres fournisseurs.

La Fondation a également tracd'autres actifs volés sur plusieurs chaînes. Apparemment, l'attaquant a échangé des jetons contre 2 183 ETH, puis a converti les fonds en Bitcoin (66,78 BTC) via THORChain. 

IoTeX adentquatre adresses Bitcoin détenant actuellement les actifs volés et se coordonne avec les plateformes d'échange concernées afin de surveiller toute tentative de dépôt potentielle.

Le réseau principal a été rétabli en 24 heures avec les fonds gelés de l'attaquant 

Lorsque le piratage du pont ioTube a été détecté le 21 février, IoTeX a immédiatement réagi. Apparemment, l'attaquant a compromis la clé privée d'un validateur sur Ethereum, a modifié letracpour contourner tous les contrôles de sécurité avant de détourner 4,4 millions de dollars de réserves, puis a émis 410 millions de jetons CIOTX.

Les premiers rapports faisaient état de chiffres atteignant 8,8 millions de dollars, mais IoTeX a déclaré que 99 % des jetons émis étaient bloqués ou gelés, tandis que seulement 0,4 % avaient été liquidés via les DEX. 

Le PDG d'IoTeX, Raullen Chai, a également offert au pirate une récompense de 10 % s'il restituait les 90 % restants des fonds volés sous deux jours. Personne n'a répondu avant l'expiration du délai hier.

Cependant, dès le lendemain, le réseau principal d'IoTeX était de nouveau en ligne, et l'équipe de développement a déployé Mainnet v2.3.4 le 24 février, après s'être coordonnée avec 36 autres délégués du réseau pour mettre en œuvre des mesures de sécurité robustes.

La mise à jour a définitivement mis sur liste noire les 29 adresses de portefeuilles d'attaquantsdentau niveau du protocole blockchain, garantissant ainsi que ces adresses ne pourront plus jamais traiter une autre transaction.

Des plans de sécurité à long terme ont été mis en place

Outre la mise à niveau immédiate du réseau principal, IoTeX met également en œuvre IIP-55, un protocole de gouvernance qui transférera les opérations de pont vers un comité de validateurs décentralisé, éliminant ainsi le point de défaillance qui a permis l'attaque.

Le projet a également mis en place diverses autres mesures, notamment l'ajout de contrôles multi-signatures et de verrouillage temporel sur les opérations privilégiées, un audit indépendantdentdentdent dentdentdentdent dentdentet un programme de primes aux bogues plus important.