Rewards Hub 
Piratage du bridge IoTeX : 4,4 millions de dollars perdus et leçons sur les risques cross-chain
Le 21 février 2026, une compromission unique de clé privée a permis à un attaquant de prendre le contrôle total du bridge cross-chain ioTube d'IoTeX sur Ethereum. En quelques heures, environ 4,3 millions de dollars en tokens ont été retirés du contrat TokenSafe du bridge, incluant USDC, USDT, IOTX, WBTC et BUSD. L’attaquant a ensuite émis 111 millions de tokens CIOTX supplémentaires (valeur estimée à 4 millions de dollars) et 9,3 millions de tokens CCS (4,5 millions de dollars), portant les pertes totales à plus de 8 millions selon PeckShield.
Du côté d’IoTeX, le montant officiel des pertes d’actifs directs s’élève à 4,3 millions de dollars. Les fonds volés ont été échangés contre de l’ETH via Uniswap puis bridgés vers Bitcoin sur THORChain avant tout gel potentiel. Le token IOTX a chuté de 22 %, passant de 0,0054 $ à moins de 0,0042 $ avant un léger rebond.
Que s’est-il passé avec le bridge ioTube d’IoTeX ?
Le bridge ioTube est l’infrastructure cross-chain développée par IoTeX pour transférer des tokens entre sa blockchain Layer 1 et des réseaux comme Ethereum, BSC ou Base. L’attaquant n’a pas exploité une faille dans un smart contract, mais a compromis la clé privée du validateur côté Ethereum, acquérant ainsi le contrôle administratif sur deux contrats : MintPool (émission des tokens enveloppés) et TokenSafe (stockage des actifs verrouillés).
Avec cette clé, il pouvait à la fois retirer des actifs réels et émettre des tokens enveloppés. L’opération s’est déroulée entre 7h et 9h UTC le 21 février. L’analyste on-chain Specter a signalé les transactions suspectes à 4h20 EST, soit environ trois heures avant la première communication publique d’IoTeX sur X.
Les validateurs et la communauté ont coordonné la suspension du bridge ioTube dès la détection de l’incident, stoppant l’hémorragie. IoTeX a ensuite interrompu sa chaîne Layer 1 pour geler les adresses de l’attaquant. La reprise du réseau était prévue dans les 24 à 48 heures après des mises à jour de sécurité et le blacklist des adresses malveillantes.
Raullen Chai, cofondateur et CEO, a confirmé que l’incident était limité à l’infrastructure bridge côté Ethereum. La chaîne L1, son consensus Roll-DPoS et les smart contracts natifs n'ont pas été affectés. Les autres bridges (BSC, Base, etc.) sont restés opérationnels.
Comment les fonds ont-ils été blanchis ?
La méthode de blanchiment est typique de 2025 et 2026 : conversion des tokens volés en ETH via Uniswap, consolidation dans quelques portefeuilles, puis transfert vers Bitcoin via THORChain, un protocole de liquidité cross-chain décentralisé sans KYC.
IoTeX a identifié quatre adresses Bitcoin détenant environ 66,6 BTC, soit 4,3 millions de dollars. CoinDesk a confirmé ces soldes. Comme l’a expliqué Nick Motz (ORQO Group), une fois les actifs passés par THORChain, toute récupération devient très difficile, faute d’entité centrale pouvant bloquer ou annuler des transactions.
Ce schéma n’est pas nouveau. THORChain est préféré par les attaquants sophistiqués car il permet de passer d’Ethereum à Bitcoin sans intermédiaire. La même méthode a été utilisée lors d’un piratage de portefeuille en 2023 identifié par ZachXBT.
Plus inquiétant encore : les analystes on-chain relient le portefeuille source de l’attaquant à l’attaque contre la plateforme stablecoin Infini (49 millions $) en février 2025. Les deux attaques partagent les mêmes signatures : accès clé étendu, abus de privilèges et blanchiment cross-chain via THORChain. Chai a déclaré à The Block que l’attaque contre IoTeX aurait été planifiée sur six à dix-huit mois.
La prime de 10 % : fonctionnement des négociations crypto
Deux jours après l’incident, IoTeX a publié un message on-chain proposant à l’attaquant une prime de 10 % (environ 440 000 $) pour la restitution des fonds sous 48 heures, promettant de ne pas poursuivre ni transmettre d’informations à la police.
Cette méthode est devenue courante dans la DeFi. Typiquement, le projet identifie les portefeuilles de l’attaquant, publie une offre on-chain, et fixe une échéance. Si le hacker restitue les fonds, il garde la prime. Sinon, le projet alerte les autorités et coopère avec les plateformes pour bloquer tout retrait centralisé.
L’efficacité reste variable, mais supérieure à l’inaction.
| Piratage | Montant volé | Prime proposée | Résultat |
|---|---|---|---|
| Euler Finance (mars 2023) | $197M | 10 % + prime $1M info | Récupération totale après négociation |
| Poly Network (août 2021) | $612M | Titre "Mr. White Hat" | Retour total (hack pour le fun) |
| Sentiment Protocol (avril 2023) | $1M | $95K (10 %) | 90 % rendus en 2 jours |
| KyberSwap (nov. 2023) | $46M | 10 % ($4,6M) | Le hacker exige le contrôle total |
| IoTeX (fév. 2026) | $4,3M | 10 % ($440K) | En attente au 24 février |
L’exemple Euler Finance est le plus instructif. Après une perte de 197 M$, une prime de 10 % a d’abord été proposée. Le hacker a transféré 1,78 M$ sur Tornado Cash puis cessé de répondre. Euler a alors offert 1 M$ pour toute information permettant une arrestation. Combiné à des pressions légales et à la difficulté de blanchir un tel montant, cela a incité le hacker à tout restituer.
A contrario, chez KyberSwap, le hacker a refusé la prime et exigé le contrôle total du protocole, sans succès.
Pourquoi les compromissions de clés privées persistent-elles ?
Le cas IoTeX illustre que les contrats intelligents fonctionnaient comme prévu. La faille était humaine, non technique.
Les compromissions de clés privées ont représenté 88 % des fonds volés au T1 2025. L’industrie investit massivement dans les audits de code, alors que les attaques visent la sécurité opérationnelle.
Parmi les principaux piratages de bridges crypto :
| Bridge | Année | Pertes | Cause principale |
|---|---|---|---|
| Ronin (Axie Infinity) | 2022 | $624M | 5/9 clés de validateur compromises |
| Wormhole | 2022 | $326M | Bypass de vérification de signature |
| BNB Bridge | 2022 | $568M | Bug du vérificateur de preuve |
| Nomad | 2022 | $190M | Exploit du root trusted |
| Flow blockchain | Déc 2025 | $3,9M | Clé privée compromise |
| CrossCurve | Fév 2026 | $3M | Validation manquante |
| IoTeX (ioTube) | Fév 2026 | $4,3M+ | Clé privée du validateur compromise |
Le cas Ronin (Axie) reste emblématique : Sky Mavis contrôlait 4 validateurs sur 9, et un ancien accès temporaire non révoqué a permis à l’attaquant d’obtenir assez de clés pour autoriser les retraits frauduleux, sans détection pendant 6 jours.
IoTeX a détecté l’incident en quelques heures, ce qui est un progrès. Mais tant qu’une seule clé suffit, le risque demeure majeur. Comme le remarque Mitchell Amador (Immunefi), la principale surface d’attaque en 2026 reste humaine.
Panorama global du risque cross-chain
Depuis 2022, les piratages de bridges cross-chain ont causé plus de 2,8 milliards de dollars de pertes. En janvier 2026, près de 400 millions ont encore été volés.
Le problème est structurel : les bridges concentrent beaucoup de valeur dans un nombre réduit de contrats et de clés, offrant une cible unique très attractive pour des attaquants sophistiqués.
Selon les analyses, seuls 4,6 % des fonds volés en 2025 ont été restitués via négociation. 13 % ont été gelés, mais 53,6 % restent dans des portefeuilles dormants.
Des pistes se dessinent :
- Vérification native par client light (ex : Succinct, Polymer), supprimant le besoin de confiance
- Amélioration des signatures multiples avec rotation des clés
- Modules hardware pour le stockage sécurisé des clés
- Limitation du montant des retraits même pour les adresses privilégiées
Ces solutions existent déjà mais sont peu répandues. Pourquoi n’ont-elles pas été adoptées plus largement, y compris par IoTeX ?
Impact sur le prix IOTX
Avant l’incident, l’IOTX s’échangeait à 0,0054 $. Il a chuté à 0,0042 $ (soit -22 %) puis remonte à 0,0045 $ au 24 février (market cap 43 M$ selon CoinMarketCap).
Le volume de trading a bondi de 500 % à plus de 17 M$ en 24h, entre ventes paniques et spéculation opportuniste. Upbit (Corée du Sud) a placé l’IOTX sous vigilance et suspendu les dépôts/retraits. Binance a également suspendu les transactions IoTeX à titre préventif.
Le précédent record historique (0,26 $ en novembre 2021) reste très éloigné. Même avant le hack, le token déclinait déjà, reflétant la tendance générale des altcoins mid-cap. Cet incident a accéléré la tendance mais ne l’a pas créée.
IoTeX a promis un plan de compensation dans les 48 heures. La plupart des tokens CIOTX et CCS émis ont été gelés ou sont en cours de récupération, limitant l’impact de la nouvelle offre.
Conséquences pour les utilisateurs et traders
Trois enseignements concrets :
Le risque bridge est un risque protocole. Détenir des tokens enveloppés (CIOTX, wETH, wBTC…) vous expose à la gestion des clés et à la sécurité opérationnelle du bridge, pas seulement à l’actif sous-jacent.
Surveillez la date limite de la prime. L’offre de bounty de 48h d’IoTeX est un catalyseur possible. Restitution = soulagement du marché ; sinon, escalade vers l’application de la loi et possiblement une prime d’information comme chez Euler.
La compromission de clé privée devient centrale. Les audits de smart contracts ont progressé mais les failles humaines persistent. Avant d’utiliser un bridge, vérifiez l’utilisation de portefeuilles multi-signatures, de modules hardware et la limitation des droits d’accès privilégiés. Chez ioTube, un seul détenteur de clé côté Ethereum a suffi.
FAQ
IoTeX est-il une arnaque après le hack ?
Non. IoTeX est un projet légitime fondé en 2017 avec des partenaires comme Google, Samsung et ARM, et une intégration avec Polygon AggLayer. Le hack a visé le bridge ioTube via une faille opérationnelle, non pas la chaîne L1. La perte de 4,3 M$ interroge toutefois sur les pratiques de sécurité.
Le hacker va-t-il restituer les fonds ?
Impossible à prévoir. Le portefeuille de l’attaquant est lié à l’exploit Infini (49 M$, 2025), suggérant une opération organisée. Ce profil négocie moins que les hackers isolés. Le passage sur THORChain rend la récupération légale très difficile.
Quelles sont les pertes réelles ?
IoTeX annonce 4,3 M$ de pertes directes ; PeckShield estime plus de 8 M$ en incluant les tokens émis. Les tokens gelés ou récupérés ne représentent pas forcément une perte permanente.
Les bridges cross-chain sont-ils sûrs ?
Ils représentent le plus grand risque en volume volé (2,8 Md$ depuis 2022). Minimisez le montant et la durée d’exposition, privilégiez les bridges décentralisés ou à vérification ZK, et évitez de laisser des tokens enveloppés inutilisés.
Conclusion
Le piratage d’IoTeX montre que la sécurité crypto ne relève plus tant du code que des clés privées. Les smart contracts fonctionnaient, mais une seule clé compromise a suffi à vider le coffre du bridge.
L’offre de prime de 10 % suit une stratégie parfois efficace (Euler, Sentiment) mais son succès dépendra du profil de l’attaquant.
Pour les utilisateurs, la leçon majeure reste structurelle : tant que la vérification trustless n’est pas généralisée, tout bridge à forte TVL est une cible.
Disclaimer : Cet article est à but informatif et ne constitue pas un conseil financier. Les investissements en crypto-monnaies comportent des risques. Faites toujours vos propres recherches.
