Belohnungszentrum 
Am 21. Februar 2026 verschaffte sich ein Angreifer durch einen kompromittierten privaten Schlüssel vollständigen Zugriff auf die ioTube Cross-Chain-Brücke von IoTeX auf Ethereum. Innerhalb weniger Stunden wurden etwa $4,3 Millionen an Token aus dem TokenSafe-Vertrag der Brücke abgezogen, darunter USDC, USDT, IOTX, WBTC und BUSD. Der Angreifer prägte zusätzlich 111 Millionen CIOTX-Token (geschätzt $4 Millionen) und 9,3 Millionen CCS-Token ($4,5 Millionen), was die unabhängigen Verlustschätzungen von PeckShield auf über 8 Millionen US-Dollar ansteigen ließ.
Die IoTeX-eigenen Zahlen belaufen sich auf $4,3 Millionen direkte Vermögensverluste. Unabhängig von der genauen Summe wurden die gestohlenen Mittel über Uniswap in ETH getauscht und anschließend über THORChain nach Bitcoin transferiert, bevor sie eingefroren werden konnten. Der Kurs von IOTX fiel in der Folge um 22 %, von $0,0054 auf unter $0,0042, bevor eine teilweise Erholung einsetzte.
Was ist mit der ioTube-Brücke von IoTeX passiert?
die ioTube-Brücke ist die eigene Cross-Chain-Infrastruktur von IoTeX und verbindet dessen Layer-1-Blockchain mit Netzwerken wie Ethereum, Binance Smart Chain und Base. Anders als bei typischen Smart-Contract-Bugs wurde der Angriff nicht durch einen Codefehler ausgelöst, sondern durch einen kompromittierten privaten Schlüssel des Validator-Besitzers auf der Ethereum-Seite der Brücke. Dadurch erhielt der Angreifer administrative Kontrolle über die Verträge MintPool (zum Erstellen von Wrapped Tokens) und TokenSafe (für die Verwahrung der hinterlegten Vermögenswerte).
Mit diesem einen Schlüssel konnte der Angreifer sowohl reale Vermögenswerte aus dem Tresor abziehen als auch neue Wrapped Tokens prägen. Die Angriffsserie fand zwischen 7 und 9 Uhr UTC am 21. Februar statt. On-Chain-Analyst Specter meldete verdächtige Transaktionen um 4:20 Uhr EST, etwa drei Stunden bevor IoTeX die öffentliche Mitteilung auf X veröffentlichte.
Netzwerk-Validatoren und Community-Mitglieder koordinierten das Pausieren der ioTube-Brücke, um weiteren Abfluss zu verhindern. IoTeX stoppte im Anschluss die eigene Layer-1-Chain komplett, um die Adressen des Angreifers auf Netzwerkebene einzufrieren. Die Wiederaufnahme war nach 24–48 Stunden geplant, abhängig von Sicherheitsupdates und einem Mainnet-Update, das die bösartigen Adressen standardmäßig blockiert.
IoTeX-Mitgründer und CEO Raullen Chai bestätigte, dass der Vorfall auf die Ethereum-Seite der Brückeninfrastruktur beschränkt war. Die IoTeX-Layer-1-Chain, das Roll-DPoS-Konsenssystem und alle nativen Smart Contracts waren nicht betroffen. Brücken zu BSC, Base und anderen unterstützten Netzwerken blieben durchgehend funktionsfähig.
Wie der Angreifer die Gelder gewaschen hat
Das Vorgehen beim Waschen der Gelder folgte einem in 2025 und 2026 häufig beobachteten Muster: Gestohlene Token wurden über Uniswap in ETH getauscht, in wenigen Wallets zusammengeführt und anschließend über THORChain, ein dezentrales Cross-Chain-Liquiditätsprotokoll ohne KYC, ins Bitcoin-Netzwerk transferiert.
IoTeX identifizierte vier Bitcoin-Wallets mit rund 66,6 BTC (entspricht etwa $4,3 Millionen) per 23. Februar. CoinDesk bestätigte unabhängig die Salden. Laut Nick Motz, CEO der ORQO Group, wird die Rückholung nach dem Transfer über THORChain wegen fehlender zentraler Instanz besonders schwierig. Es existiert keine zentrale Instanz zur Anordnung einer Kontosperrung oder Transaktionsrückabwicklung.
Diese Taktik ist nicht neu. THORChain hat sich als bevorzugte Route für erfahrene Angreifer etabliert, da die Brücke zwischen UTXO-Chains (wie Bitcoin) und kontobasierten Chains (wie Ethereum) ohne Intermediäre ermöglicht. Ein ähnliches Muster wurde auch bei einem Wallet-Hack 2023 beobachtet.
Besorgniserregend ist zudem, dass On-Chain-Analysten die Funding-Wallet des Angreifers mit dem $49 Millionen Infini Stablecoin Exploit von Februar 2025 verknüpfen, bei dem ein ehemaliger Contract-Entwickler durch Admin-Privilegien Gelder verzögert abgezogen hat. Beide Angriffe zeigen ähnliche Muster: lange Vorbereitungszeit, Insider-Zugang, Missbrauch privilegierter Verträge, Cross-Chain-Waschung via THORChain. Chai gab gegenüber The Block an, das Team habe Hinweise, dass der Angriff auf IoTeX 6–18 Monate im Voraus geplant wurde.
Die 10%-Prämie: Wie funktionieren Krypto-Verhandlungen?
Zwei Tage nach dem Angriff veröffentlichte IoTeX eine On-Chain-Nachricht an den Angreifer und bot eine 10%-„White-Hat“-Prämie, etwa $440.000, im Austausch für die Rückgabe der verbliebenen Mittel innerhalb von 48 Stunden. Im Gegenzug wurde zugesichert, keine rechtlichen Schritte einzuleiten oder Informationen an Strafverfolgungsbehörden weiterzugeben, sollte der Angreifer kooperieren.
Dieser Ansatz hat sich im DeFi-Bereich als Standard-Reaktionsstrategie etabliert: Das Projekt identifiziert die Wallets des Angreifers, macht ein öffentliches Angebot über On-Chain-Transaktionsdaten (die einzige zuverlässige Kommunikationsmöglichkeit mit anonymen Hackern) und setzt eine Frist. Werden die Mittel zurückgegeben, verbleibt die Prämie beim Hacker. Andernfalls werden typischerweise Strafverfolgung, On-Chain-Kopfgeldjäger und die Zusammenarbeit mit Börsen aktiviert, um Gelder auf zentralen Plattformen einzufrieren.
Die Erfolgsbilanz ist gemischt, aber besser als Untätigkeit.
Hack | Betrag gestohlen | Gebotene Prämie | Ergebnis |
Euler Finance (März 2023) | $197 Mio. | 10% + $1 Mio. Info-Prämie | Vollständige Rückgabe nach Wochen der Verhandlung |
Poly Network (Aug 2021) | $612 Mio. | "Mr. White Hat"-Titel | Vollständige Rückgabe (Hacker gab an, es sei ein Spaß gewesen) |
Sentiment Protocol (Apr 2023) | $1 Mio. | $95K (10%) | 90% Rückgabe in 2 Tagen |
KyberSwap (Nov 2023) | $46 Mio. | 10% ($4,6 Mio.) | Hacker forderte stattdessen vollständige Kontrolle |
IoTeX (Feb 2026) | $4,3 Mio. | 10% ($440K) | Ausstehend (Stand 24. Februar) |
Der Euler-Finance-Fall ist hier besonders lehrreich. Als das Protokoll im März 2023 $197 Millionen verlor, wurde zunächst eine 10%-Prämie angeboten. Der Hacker transferierte daraufhin $1,78 Millionen zu Tornado Cash und reagierte nicht mehr. Euler setzte daraufhin eine $1-Millionen-Belohnung für Hinweise zur Ergreifung aus. Diese Eskalation, kombiniert mit juristischem Druck und der Erkenntnis, dass das Waschen von $197 Mio. schwieriger ist als deren Diebstahl, führte schließlich zur Rückgabe aller rückführbaren Mittel.
KyberSwap hingegen zeigt die Grenzen dieser Strategie: Der Hacker lehnte die Prämie ab und forderte vollständige Kontrolle über das Protokoll und alle Vermögenswerte – ohne Erfolg.
Warum Private-Key-Exploits weiter passieren
Das Besondere am IoTeX-Zwischenfall ist, dass die Smart Contracts wie vorgesehen funktionierten – alle Audits wären vermutlich ohne Beanstandung geblieben. Die Schwachstelle war menschlich, nicht technisch.
Private-Key-Kompromittierungen waren laut The Block für 88 % der gestohlenen Gelder im ersten Quartal 2025 verantwortlich, und der Trend setzt sich 2026 fort. Während Milliarden für Smart-Contract-Audits ausgegeben werden, erfolgen viele Angriffe über kompromittierte Zugangsdaten.
Das Muster wiederholt sich bei den größten Bridge-Hacks der Krypto-Geschichte:
Bridge Hack | Jahr | Verlust | Ursache |
Ronin (Axie Infinity) | 2022 | $624 Mio. | 5 von 9 Validator-Keys kompromittiert |
Wormhole | 2022 | $326 Mio. | Signaturüberprüfung umgangen (Codefehler) |
BNB Bridge | 2022 | $568 Mio. | Fehler im Proof-Verifier (Codefehler) |
Nomad | 2022 | $190 Mio. | Trusted-Root-Exploit (Codefehler) |
Flow blockchain | Dez 2025 | $3,9 Mio. | Private-Key-Kompromittierung |
CrossCurve | Feb 2026 | $3 Mio. | Fehlende Validierungsprüfung |
IoTeX (ioTube) | Feb 2026 | $4,3 Mio.+ | Validator-Owner Key kompromittiert |
Ronin ist nach wie vor ein warnendes Beispiel: Sky Mavis kontrollierte vier der neun Validatoren der eigenen Brücke. Nicht entzogene Zugriffsrechte aus früheren Vereinbarungen ermöglichten es dem Angreifer, genügend Schlüssel zu sammeln, um Auszahlungen zu autorisieren, ohne dass dies sechs Tage lang bemerkt wurde.
IoTeX erkannte den Vorfall innerhalb weniger Stunden, ein echter Fortschritt. Aber die Geschwindigkeit der Entdeckung verhindert nicht den Diebstahl, wenn ein einzelner privater Schlüssel administrative Kontrolle über Millionenwerte gewährt. Wie Immunefi-CEO Mitchell Amador feststellte, sind 2026 die Menschen die Hauptangriffsfläche.
Das große Bild: Risiken von Cross-Chain-Brücken
Cross-Chain-Bridge-Hacks verursachten seit 2022 Verluste von über $2,8 Milliarden und bleiben damit die größte Angriffsstelle im Kryptobereich nach Dollar. Im Januar 2026 wurden branchenweit fast $400 Millionen gestohlen, wobei Brücken einen großen Anteil ausmachen.
Das Hauptproblem ist architektonischer Natur: Brücken bündeln enorme Werte in wenigen Verträgen, die mit wenigen Schlüsseln verwaltet werden. Diese Konzentration ist für Angreifer mit hoher Expertise – auch staatlich unterstützt – ein attraktives Ziel.
Die Rückgewinnungsraten sprechen Bände: Bei Bridge-Hacks 2025 wurden laut Branchenanalysen nur etwa 4,6 % der gestohlenen Gelder über Verhandlungen zurückgegeben. Weitere 13 % wurden durch schnelles Handeln eingefroren. Über 53 % der gestohlenen Bridge-Vermögen liegen noch immer in ruhenden Wallets und warten auf den nächsten Versuch der Geldwäsche.
Gegenmaßnahmen sind unter anderem:
- Native Light-Client-Verifikation (z.B. Succinct, Polymer), die die Vertrauensannahme gegenüber Validatoren aufhebt
- Multi-Signature-Lösungen mit Schlüsselrotation verringern das Risiko eines Einzelkompromisses
- Hardware-Security-Module für Validator-Keys erschweren Remote-Angriffe
- Limitierungen für Abhebungen, auch für privilegierte Adressen, hätten bei IoTeX den Schaden begrenzt
Diese Maßnahmen existieren bereits produktiv auf anderen Brücken – die Frage ist, warum sie bei vielen Projekten, darunter IoTeX, noch nicht umgesetzt sind.
Was geschah mit dem IOTX-Kurs?
IOTX lag vor Bekanntgabe des Angriffs bei etwa $0,0054. Nach Veröffentlichung fiel der Kurs kurzfristig auf $0,0042 (ca. -22 %), notierte am 24. Februar bei circa $0,0045 mit einer Marktkapitalisierung von rund $43 Millionen.
Das Handelsvolumen stieg nach dem Hack innerhalb von 24 Stunden um mehr als 500 % auf über $17 Millionen. Die koreanische Börse Upbit setzte IOTX auf die Beobachtungsliste und stoppte Ein- und Auszahlungen. Auch Binance hat IoTeX-Transaktionen vorübergehend ausgesetzt.
Das Allzeithoch von $0,26 (November 2021) liegt damit 98 % über dem aktuellen Kurs. Bereits vor dem Hack sank der Wert kontinuierlich, was eher allgemeiner Schwäche bei Midcap-Altcoins als projektbezogenen Problemen entspricht. Der Angriff verstärkte diesen Trend lediglich.
IoTeX kündigte an, einen Entschädigungsplan für Betroffene innerhalb von 48 Stunden nach dem Vorfall zu veröffentlichen. Die meisten neu geprägten CIOTX- und CCS-Token wurden eingefroren oder sind in aktiver Rückholung, was langfristige Marktauswirkungen durch unbefugte Tokenzufuhr begrenzen dürfte.
Bedeutung für Trader
Drei zentrale Erkenntnisse aus dem IoTeX-Hack:
Brückenrisiko ist Protokollrisiko. Wer Wrapped Tokens auf einer Chain hält (z.B. CIOTX, wETH, wBTC via Drittanbieter-Brücken), ist nicht nur dem Basiswert, sondern auch der Schlüsselverwaltung, Validator-Sicherheit und den Betriebsprozessen der Brücke ausgesetzt. Ein Brücken-Hack kann Wrapped Tokens entwerten, selbst wenn der Basiswert sicher ist. Prüfen Sie, ob Sie überhaupt Brücken-Exposure benötigen oder native Alternativen nutzen können.
Beobachten Sie die Prämienfrist. Die 48-Stunden-Frist von IoTeX ist kurzfristig marktbewegend. Werden die Mittel zurückgegeben, fällt ein Unsicherheitsfaktor weg. Nach Fristablauf sind rechtliche Schritte und öffentliche Belohnung denkbar. Auch der Ketten-Neustart und der Entschädigungsplan beeinflussen kurzfristig den Kursverlauf.
Private-Key-Hacks sind das neue Hauptproblem. Smart-Contract-Audits sind heute deutlich besser als noch 2021, Codefehler werden seltener (wie bei CrossCurve im Februar 2026). Operative Sicherheitslücken hingegen nehmen zu. Prüfen Sie vor der Nutzung von Brücken, dass Multi-Signature-Wallets mit verteilten Schlüsselinhabern, Hardware-Module für Validator-Keys und Limits für privilegierte Operationen eingesetzt werden. Bei IoTeX wurde offenbar ein einzelner Validator-Owner-Key für kritische Verträge auf Ethereum genutzt – genau diese Schwachstelle nutzte der Angreifer aus.
FAQ
Ist IoTeX nach dem Brücken-Hack ein Betrug?
Nein. IoTeX ist ein seriöses Projekt, gegründet 2017, mit Partnerschaften u.a. mit Google, Samsung und ARM sowie Integration in Polygons AggLayer. Der Angriff zielte auf die Brücken-Infrastruktur, nicht auf die Layer-1-Chain. Allerdings wirft der Verlust von $4,3 Mio. durch einen vermeidbaren Private-Key-Fehler berechtigte Fragen zur Sicherheitspraxis auf – besonders, da Hinweise auf eine langfristige Planung bestehen.
Wird der Angreifer die IoTeX-Gelder zurückgeben?
Das ist nicht vorhersehbar. Die Verbindung zur $49-Millionen-Infini-Attacke aus 2025 deutet auf eine organisierte, professionell agierende Gruppe hin. Solche Gruppen sind weniger verhandlungsbereit als Einzelpersonen, die unabsichtlich in eine Eskalation geraten (wie im Euler-Fall). Der Wechsel zu Bitcoin via THORChain erschwert die Rückholung zusätzlich.
Wie hoch ist der tatsächliche Verlust für IoTeX?
Das variiert je nach Quelle: IoTeX spricht von etwa $4,3 Mio. an direkten Abflüssen aus dem TokenSafe-Vertrag. PeckShield kommt unter Einrechnung der geprägten CIOTX- und CCS-Token auf über $8 Mio. Ursprünglich meldete das Team $2 Mio., korrigierte aber später nach oben. Die Differenz erklärt sich daraus, dass eingefrorene oder zurückgeholte geprägte Token nicht dauerhaft als Verlust gelten müssen.
Sind Cross-Chain-Brücken sicher?
Brücken sind nach wie vor die riskanteste Infrastruktur im Kryptobereich nach Dollarvolumen. Seit 2022 wurden über $2,8 Milliarden durch Exploits bei Brücken gestohlen. Nutzer sollten die Höhe und Dauer ihrer Exponierung minimieren, bevorzugt Brücken mit dezentralen Validator-Sets oder ZK-Verifikation nutzen und keine Wrapped Tokens unnötig lange in Brückenverträgen halten.
Fazit
Der IoTeX-Hack ist ein Musterbeispiel dafür, warum sich das Krypto-Sicherheitsproblem von Smart-Contract-Code auf Schlüsselverwaltung verlagert hat. Die Verträge arbeiteten wie vorgesehen; die Audits waren wirkungslos. Ein einziger kompromittierter privater Schlüssel, mutmaßlich durch monatelange Vorbereitung erlangt, genügte, um einen Brücken-Tresor zu leeren, auf den Tausende Nutzer vertrauten.
IoTeX setzt mit der 10%-Prämienofferte auf einen Ansatz, der schon funktioniert hat (Euler, Sentiment), aber auch gescheitert ist (KyberSwap). Der Ausgang hängt vermutlich an der Angreiferstruktur: Ist es eine organisierte Gruppe mit Geldwäsche-Infrastruktur, oder jemand, der erkennt, dass 66 BTC in überwachten Wallets schwieriger zu verwerten sind als eine Prämie von $440.000?
Für Trader liegt die Hauptlehre in der Struktur: Cross-Chain-Brücken konzentrieren Werte und sind damit Angriffspunkte für hochprofessionelle (auch staatliche) Gruppen. Solange die Branche nicht verstärkt auf vertrauensfreie Verifikation (ZK, Native Light Clients) umstellt und Validator-Key-Modelle ablöst, bleibt jede nennenswert große Brücke ein Ziel. Die Frage ist nicht ob, sondern welche Brücke als nächste betroffen ist – und wie das Projekt darauf reagiert.
Hinweis: Dieser Artikel dient nur zu Informationszwecken und stellt keine Anlageberatung dar. Investitionen in Kryptowährungen sind mit erheblichen Risiken verbunden. Führen Sie stets eigene Recherchen durch, bevor Sie Investitionsentscheidungen treffen.
