Rewards Hub 
El 21 de febrero de 2026, un atacante obtuvo el control total del puente intercadena ioTube de IoTeX en Ethereum tras comprometer una clave privada. En cuestión de horas, aproximadamente $4,3 millones en tokens fueron retirados del contrato TokenSafe del puente, incluyendo USDC, USDT, IOTX, WBTC y BUSD. Luego, el atacante acuñó 111 millones de tokens CIOTX (aproximadamente $4 millones) y 9,3 millones de tokens CCS ($4,5 millones), lo que llevó las estimaciones independientes de pérdidas realizadas por PeckShield a más de $8 millones en total.
La cifra oficial de IoTeX es de $4,3 millones en pérdidas directas de activos. En ambos casos, los fondos sustraídos se cambiaron a ETH a través de Uniswap y se transfirieron a Bitcoin mediante THORChain antes de que pudieran ser congelados. El precio del IOTX cayó un 22%, pasando de $0,0054 a menos de $0,0042 antes de una recuperación parcial.
¿Qué ocurrió con el puente ioTube de IoTeX?
ioTube es la infraestructura propia de IoTeX para transferir tokens entre su blockchain Layer 1 y redes como Ethereum, Binance Smart Chain y Base. El atacante no aprovechó un error en el contrato inteligente ni fallas lógicas en el código, sino que comprometió la clave privada del propietario validador en el lado de Ethereum, accediendo así a los contratos MintPool (creador de tokens envueltos) y TokenSafe (donde se bloquean los activos de respaldo).
Con esa única clave, el atacante pudo retirar activos reales y acuñar nuevos tokens envueltos. Todo sucedió entre las 7 y 9 AM UTC del 21 de febrero. El analista en cadena Specter detectó las transacciones sospechosas a las 4:20 AM EST, unas tres horas antes del primer comunicado público de IoTeX en X.
Validadores y miembros de la comunidad pausaron el puente ioTube tras identificar el ataque, impidiendo más retiros. IoTeX detuvo completamente su cadena Layer 1 para congelar las direcciones del atacante a nivel de red. Se preveía reanudar la cadena en 24-48 horas tras mejoras de seguridad y una actualización que incluiría una lista negra de dichas direcciones.
El cofundador y CEO Raullen Chai confirmó que el incidente se limitó a la infraestructura del puente en Ethereum; la cadena Layer 1 de IoTeX, su consenso Roll-DPoS y los contratos inteligentes nativos no se vieron afectados. Los puentes con BSC, Base y otras redes continuaron operativos.
Cómo el atacante lavó los fondos
La estrategia de lavado siguió el patrón comúnmente identificado por firmas de seguridad en 2025 y 2026: los tokens robados se cambiaron a ETH en Uniswap, consolidaron en pocas billeteras y luego se transfirieron a la red Bitcoin usando THORChain, un protocolo descentralizado de liquidez intercadena sin KYC.
IoTeX identificó cuatro billeteras de Bitcoin con aproximadamente 66,6 BTC (unos $4,3 millones al tipo de cambio actual) al 23 de febrero. CoinDesk confirmó estos saldos. Como señaló Nick Motz, CEO del ORQO Group, una vez que los fondos pasan por THORChain, su recuperación es muy complicada, ya que el protocolo es sin permisos y sin entidad central que emita órdenes de congelamiento o reversa de transacciones.
Esta táctica no es nueva. THORChain es cada vez más usado para el lavado por su capacidad de unir cadenas UTXO (como Bitcoin) con cadenas basadas en cuentas (como Ethereum) sin intermediarios. El mismo patrón se vio en un hackeo de billetera en 2023 rastreado por el investigador ZachXBT.
Más preocupante: analistas en cadena vincularon la billetera de financiación del atacante con el exploit de la plataforma Infini de $49 millones de febrero de 2025, donde un exdesarrollador mantuvo privilegios administrativos y ejecutó un drenaje retrasado. Ambos ataques comparten señales: larga preparación, acceso privilegiado, abuso de contratos y lavado intercadena vía THORChain. Chai declaró a The Block que hay evidencia de que el ataque a IoTeX fue planeado de 6 a 18 meses antes.
La oferta de recompensa del 10%: cómo funcionan las negociaciones en cripto
Dos días después del exploit, IoTeX envió un mensaje en cadena al atacante, ofreciendo una recompensa tipo "white-hat" del 10% (unos $440.000) a cambio de la devolución de los fondos restantes en 48 horas. También prometió no emprender acciones legales ni compartir información con las autoridades si el atacante cumplía.
Este enfoque es ahora una respuesta estándar en DeFi: se identifican las billeteras del atacante, se hace una oferta pública mediante transacción en cadena (el único canal fiable para contactar a un hacker anónimo) y se fija un plazo. Si el atacante devuelve los fondos, se queda con la recompensa. Si no, el proyecto suele escalar el caso a autoridades y colaboradores para intentar congelar activos en exchanges centralizados.
El historial es mixto, pero mejor que la inacción.
|
Hackeo
|
Monto robado
|
Recompensa ofrecida
|
Resultado
|
|
Euler Finance (Mar 2023)
|
$197M
|
10% + $1M por info
|
Recuperación total tras semanas de negociación
|
|
Poly Network (Ago 2021)
|
$612M
|
Título "Mr. White Hat"
|
Devolución total (el hacker alegó que fue por diversión)
|
|
Sentiment Protocol (Abr 2023)
|
$1M
|
$95K (10%)
|
Devuelto el 90% en 2 días
|
|
KyberSwap (Nov 2023)
|
$46M
|
10% ($4,6M)
|
El hacker exigió control total a cambio
|
|
IoTeX (Feb 2026)
|
$4,3M
|
10% ($440K)
|
Pendiente al 24 de febrero
|
El caso de Euler Finance es el mejor ejemplo: tras perder $197 millones en marzo de 2023, primero se ofreció un 10% de recompensa. El hacker transfirió $1,78 millones a Tornado Cash y dejó de responder. Euler anunció luego una recompensa de $1 millón por información que llevara a su captura. Eso, sumado a la presión de firmas legales y la dificultad de blanquear tal suma, llevó a la devolución de casi todos los fondos.
KyberSwap es el ejemplo contrario: el hacker rechazó la oferta y exigió el control del protocolo y sus activos, sin resultado.
¿Por qué siguen ocurriendo hackeos por claves privadas?
Lo relevante del ataque a IoTeX no es solo la cantidad robada: los contratos inteligentes funcionaron como se esperaba y las auditorías podían estar perfectas. La vulnerabilidad fue humana, no técnica.
Según The Block, los robos por compromiso de clave privada representaron el 88% de los fondos robados en el primer trimestre de 2025, tendencia que sigue en 2026. La industria ha invertido miles de millones en auditorías, pero los atacantes entran por la vía operativa.
Este patrón se repite en los mayores hackeos de puentes cripto:
|
Hackeo Puente
|
Año
|
Pérdida
|
Causa raíz
|
|
Ronin (Axie Infinity)
|
2022
|
$624M
|
5 de 9 claves privadas de validadores comprometidas
|
|
Wormhole
|
2022
|
$326M
|
Fallo en verificación de firmas (bug de código)
|
|
BNB Bridge
|
2022
|
$568M
|
Bug en verificador de pruebas (bug de código)
|
|
Nomad
|
2022
|
$190M
|
Exploit de raíz de confianza (bug de código)
|
|
Flow blockchain
|
Dic 2025
|
$3,9M
|
Compromiso de clave privada
|
|
CrossCurve
|
Feb 2026
|
$3M
|
Falta de validación (bug de código)
|
|
IoTeX (ioTube)
|
Feb 2026
|
$4,3M+
|
Compromiso de la clave privada del validador
|
Ronin sigue siendo el ejemplo de advertencia: Sky Mavis controlaba cuatro de nueve validadores y un permiso temporal no retirado permitió al atacante (vinculado al grupo Lazarus de Corea del Norte) acceder a suficientes claves para autorizar retiros fraudulentos sin que nadie lo notara durante seis días.
IoTeX detectó su brecha en horas, lo que es una mejora. Pero la velocidad de detección no previene el robo inicial si una sola clave da acceso a millones de fondos bloqueados. Según Mitchell Amador de Immunefi, con el código cada vez menos vulnerable, el principal riesgo en 2026 son las personas.
El panorama de riesgo intercadena
Los hackeos de puentes han causado más de $2,8 mil millones desde 2022, siendo la mayor superficie de ataque del sector. Solo en enero de 2026 se registraron casi $400 millones en robos de criptoactivos, con las explotaciones a puentes representando una parte desproporcionada.
El problema es arquitectónico: los puentes concentran un gran valor en pocos contratos controlados por pocas claves. Esto genera un punto único de fallo tentador para atacantes sofisticados (incluso estatales) dispuestos a planificar durante meses o años.
Las tasas de recuperación lo evidencian: según análisis de hackeos a puentes en 2025, sólo el 4,6% de los fondos retornó vía recompensas negociadas; otro 13% fue congelado o inutilizado rápidamente. Pero el 53,6% de los fondos robados sigue en billeteras inactivas, a la espera de ser lavados.
Hay propuestas para atacar la debilidad estructural: la verificación nativa mediante light clients (proyectos como Succinct y Polymer) elimina la confianza en validadores al probar el estado fuente con pruebas de conocimiento cero; las carteras multifirma con rotación de claves reducen el impacto de una sola brecha; módulos de seguridad hardware dificultan la extracción remota de claves; los límites de retiro, incluso en direcciones privilegiadas, habrían mitigado el daño en IoTeX.
Estas opciones existen en producción en otros puentes. La cuestión es por qué muchos proyectos, incluyendo IoTeX, aún no las implementan.
¿Qué pasó con el precio de IOTX?
Antes del hackeo, IOTX cotizaba en torno a $0,0054. Tras el incidente, bajó hasta $0,0042 (caída del 22%). Al 24 de febrero, cotizaba cerca de $0,0045 con una capitalización aproximada de $43 millones según CoinMarketCap.
El volumen de operaciones aumentó más del 500% en las 24 horas siguientes, superando $17 millones por movimientos de venta y compra oportunistas. Upbit de Corea del Sur puso IOTX en alerta y suspendió temporalmente depósitos y retiros. Binance también suspendió transacciones relacionadas con IoTeX como medida preventiva.
El máximo histórico de IOTX fue de $0,26 en noviembre de 2021, un 98% por encima del nivel actual. Incluso antes del incidente, IOTX venía en descenso por debilidad de altcoins de mediana capitalización, no por temas específicos del proyecto. El hackeo aceleró la tendencia, no la originó.
IoTeX anunció un plan de compensación para los usuarios afectados, que se publicaría en 48 horas. La mayoría de los tokens CIOTX y CCS acuñados han sido congelados o están en proceso de recuperación activa, lo que debería limitar el impacto de la oferta no autorizada en el mercado.
¿Qué significa esto para los traders?
Tres conclusiones prácticas del hackeo a IoTeX:
La exposición a puentes es riesgo de protocolo. Si tienes tokens envueltos (CIOTX, wETH, wBTC por puentes de terceros), tu riesgo no es solo el activo subyacente, sino la seguridad y operaciones del puente. Un hackeo puede desvalorizar los tokens envueltos aunque el activo base esté seguro. Considera si realmente necesitas tal exposición o existen alternativas nativas.
Atento al plazo de la recompensa. Las 48 horas desde la oferta de IoTeX son un catalizador. Si se devuelven los fondos, podría haber alivio en el mercado. Si no, probablemente IoTeX escale el caso a autoridades o recompensas públicas, similar al caso Euler. El tiempo de reinicio de la cadena y el plan de compensación también influirán en la cotización.
Los ataques por claves privadas son la nueva tendencia. Las auditorías han mejorado desde 2021. Los fallos de código aún ocurren (como el de CrossCurve en febrero de 2026), pero cada vez son menos frecuentes que los errores operativos. Antes de interactuar con un puente, asegúrate de que use carteras multifirma con tenedores de claves distribuidos, módulos hardware para validadores y límites de operación. El puente ioTube de IoTeX parecía depender de una sola clave propietaria para contratos críticos en Ethereum; ese fue el punto exacto explotado.
Preguntas frecuentes
¿IoTeX es una estafa tras el hackeo?
No. IoTeX es un proyecto legítimo fundado en 2017, con alianzas con Google, Samsung y ARM, además de integración con AggLayer de Polygon. El hackeo fue contra la infraestructura operativa del puente, no contra la cadena Layer 1. Sin embargo, la pérdida por compromiso de clave privada sí cuestiona las prácticas de seguridad, especialmente dado que el ataque fue planeado con anticipación.
¿El hacker devolverá los fondos?
No se puede predecir. Analistas vinculan la billetera del atacante con el exploit Infini de $49 millones en 2025, lo que sugiere una operación organizada más que un robo oportunista. Estos actores son menos propensos a negociar que los hackers solitarios (como en Euler). El paso de fondos vía THORChain hacia Bitcoin dificulta la recuperación legal.
¿Cuánto perdió realmente IoTeX?
Depende de la fuente. IoTeX habla de $4,3 millones en activos directos; PeckShield estima más de $8 millones incluyendo tokens acuñados. IoTeX primero reportó $2 millones antes de subir la cifra. Los tokens acuñados y posteriormente congelados pueden no representar pérdidas permanentes.
¿Son seguros los puentes intercadena?
Los puentes siguen siendo la infraestructura de mayor riesgo por volumen sustraído: más de $2,8 mil millones desde 2022. Si los usas, minimiza cantidad y tiempo de exposición, prefiere puentes con validadores descentralizados o verificación por prueba de conocimiento cero, y evita mantener tokens envueltos inactivos más de lo necesario.
Conclusión
El caso IoTeX ejemplifica cómo el foco de la seguridad cripto ha pasado del código a las claves. Los contratos funcionaron, las auditorías no evitaron el problema. Una sola clave privada comprometida, posiblemente tras meses de planeación, bastó para vaciar un puente del que dependían miles de usuarios.
La oferta del 10% sigue un patrón que en ocasiones funciona (Euler, Sentiment), otras veces no (KyberSwap). El desenlace dependerá de si el atacante es un grupo organizado con infraestructura de lavado o alguien que prefiere un pago limpio a fondos difíciles de gastar.
Para traders, la lección es estructural: los puentes intercadena concentran valor y atraen a atacantes sofisticados, incluso estatales. Sin una transición masiva a verificación sin confianza (pruebas ZK, light clients nativos) y lejos del modelo de claves de validadores, cada puente con volumen significativo es objetivo. La cuestión no es si habrá otro hackeo, sino en cuál puente ocurrirá y cómo responderá el proyecto.
Disclaimer: Este artículo es solo informativo y no constituye asesoramiento financiero. Las inversiones en criptomonedas conllevan riesgos. Investiga antes de tomar decisiones.
