Rewards Hub 
Em 21 de fevereiro de 2026, uma única chave privada comprometida concedeu a um invasor controle total sobre a ponte cross-chain ioTube da IoTeX na Ethereum. Em poucas horas, cerca de US$ 4,3 milhões em tokens foram drenados do contrato TokenSafe da ponte, incluindo USDC, USDT, IOTX, WBTC e BUSD. O invasor ainda emitiu 111 milhões de tokens CIOTX (estimados em US$ 4 milhões) e 9,3 milhões de tokens CCS (US$ 4,5 milhões), levando estimativas independentes de perdas feitas pela PeckShield para mais de US$ 8 milhões no total.
O valor oficial divulgado pela IoTeX é de US$ 4,3 milhões em perdas diretas de ativos. De toda forma, os fundos roubados foram trocados por ETH via Uniswap e enviados para a rede Bitcoin por meio da THORChain antes que qualquer medida de bloqueio fosse possível. O preço do IOTX caiu 22% após o incidente, indo de US$ 0,0054 para menos de US$ 0,0042 antes de uma leve recuperação.
O que aconteceu com a ponte ioTube da IoTeX?
A ponte ioTube é a infraestrutura cross-chain desenvolvida pela própria IoTeX para transferir tokens entre sua blockchain Layer 1 e redes como Ethereum, Binance Smart Chain e Base. O ataque não explorou um bug de contrato inteligente ou falha de código. Em vez disso, o invasor obteve a chave privada do validador na Ethereum, ganhando controle administrativo sobre dois contratos: MintPool (responsável por criar tokens wrapped) e TokenSafe (que mantém os ativos reais como garantia desses tokens).
Com essa única chave, o invasor conseguiu tanto retirar ativos do cofre quanto emitir novos tokens wrapped sem lastro. A sequência ocorreu entre 7h e 9h UTC do dia 21 de fevereiro. O analista on-chain Specter identificou transações suspeitas às 4h20 EST, cerca de três horas antes do anúncio público da IoTeX no X.
Validadores e membros da comunidade coordenaram a pausa da ponte ioTube assim que a invasão foi detectada, evitando mais prejuízos. A IoTeX então suspendeu sua blockchain Layer 1 para congelar os endereços do invasor em nível de rede. O retorno da rede estava previsto para 24 a 48 horas após upgrades de segurança e atualização do mainnet que iria bloquear, por padrão, os endereços maliciosos.
O cofundador e CEO da IoTeX, Raullen Chai, confirmou que o incidente ficou restrito à infraestrutura da ponte na Ethereum. A chain Layer 1, o mecanismo de consenso Roll-DPoS e todos os contratos inteligentes nativos não foram afetados. Pontes conectadas à BSC, Base e outras redes permaneceram operacionais durante todo o processo.
Como o invasor lavou os fundos
O roteiro de lavagem seguiu um padrão já observado por empresas de segurança em 2025 e 2026. Os tokens roubados foram trocados por ETH na Uniswap, consolidados em algumas carteiras e, em seguida, enviados para a rede Bitcoin via THORChain, um protocolo de liquidez cross-chain descentralizado que não exige KYC.
A IoTeX identificou quatro carteiras Bitcoin contendo aproximadamente 66,6 BTC (cerca de US$ 4,3 milhões) em 23 de fevereiro. A CoinDesk confirmou os saldos de forma independente. Como explicou Nick Motz, CEO do ORQO Group, uma vez que os ativos entram na THORChain, a recuperação se torna extremamente difícil, pois o protocolo é permissionless e não há entidade central para congelar ou reverter transações.
A tática não é nova. A THORChain tornou-se rota preferencial para lavagem por atacantes sofisticados justamente porque faz a ponte entre cadeias UTXO (como Bitcoin) e cadeias baseadas em contas (como Ethereum) sem intermediários. O mesmo padrão ocorreu em um hack de carteira em 2023 rastreado pelo especialista ZachXBT.
Mais preocupante: analistas on-chain ligaram a carteira do atacante ao exploit de US$ 49 milhões na plataforma Infini stablecoin em fevereiro de 2025, quando um ex-desenvolvedor de contrato manteve privilégios de admin e executou uma drenagem retardada. Ambos os ataques têm assinatura semelhante: tempo de preparo prolongado, acesso privilegiado, abuso de contratos e lavagem via THORChain. Chai disse ao The Block que há indícios de que o hack da IoTeX foi planejado com 6 a 18 meses de antecedência.
Oferta de recompensa de 10%: Como funcionam as negociações em cripto?
Dois dias após o ataque, a IoTeX enviou uma mensagem on-chain ao invasor oferecendo 10% de recompensa (cerca de US$ 440.000) caso os fundos restantes fossem devolvidos em até 48 horas. Também prometeu não tomar ações legais nem compartilhar informações com autoridades se houvesse colaboração.
Essa abordagem tornou-se padrão em crises DeFi. O projeto identifica as carteiras do invasor, faz a oferta publicamente via transação on-chain (única forma confiável de contato com hackers anônimos) e estabelece um prazo. Caso os fundos sejam devolvidos, o hacker fica com a recompensa. Caso contrário, o projeto recorre a autoridades, caçadores de recompensas on-chain e exchanges para tentar bloquear ativos que atinjam infraestruturas centralizadas.
O histórico de sucesso é misto, mas melhor do que inação.
| Hack | Valor Roubado | Recompensa Oferecida | Resultado |
|---|---|---|---|
| Euler Finance (Mar 2023) | US$ 197M | 10% + US$ 1M por informação | Recuperação total após negociação |
| Poly Network (Ago 2021) | US$ 612M | Título "Mr. White Hat" | Devolução integral (hacker alegou ser por diversão) |
| Sentiment Protocol (Abr 2023) | US$ 1M | US$ 95K (10%) | 90% devolvido em 2 dias |
| KyberSwap (Nov 2023) | US$ 46M | 10% (US$ 4,6M) | Hacker exigiu controle total do protocolo |
| IoTeX (Fev 2026) | US$ 4,3M | 10% (US$ 440K) | Pendente em 24/02 |
O caso da Euler Finance é o melhor paralelo: após perder US$ 197 milhões em março de 2023, o protocolo ofereceu 10% de recompensa. Inicialmente, o hacker movimentou US$ 1,78 milhão para a Tornado Cash e parou de responder. A Euler então anunciou uma recompensa de US$ 1 milhão por informações que levassem à prisão. A combinação de pressão legal e a dificuldade para lavar a quantia levou à devolução integral dos fundos recuperáveis.
Por outro lado, no caso KyberSwap, o hacker rejeitou a oferta e exigiu controle total do protocolo e empresa. As negociações não avançaram.
Por que ataques com chaves privadas continuam ocorrendo?
O diferencial do incidente na IoTeX não está apenas no montante: os contratos inteligentes funcionaram corretamente. Toda auditoria poderia estar limpa; a vulnerabilidade foi operacional, não técnica.
Comprometimento de chaves privadas foi responsável por 88% dos valores roubados no 1º trimestre de 2025, segundo The Block, tendência que continuou em 2026. A indústria investiu bilhões em auditorias enquanto invasores exploraram falhas humanas.
Veja os maiores hacks de pontes na história das criptos:
| Hack de Ponte | Ano | Prejuízo | Causa Raiz |
|---|---|---|---|
| Ronin (Axie Infinity) | 2022 | US$ 624M | Comprometimento de 5 de 9 chaves de validadores |
| Wormhole | 2022 | US$ 326M | Bypass de verificação de assinatura (falha de código) |
| BNB Bridge | 2022 | US$ 568M | Bug no verificador de prova (falha de código) |
| Nomad | 2022 | US$ 190M | Exploração de root confiável (falha de código) |
| Flow blockchain | Dez 2025 | US$ 3,9M | Comprometimento de chave privada |
| CrossCurve | Fev 2026 | US$ 3M | Falta de validação |
| IoTeX (ioTube) | Fev 2026 | US$ 4,3M+ | Comprometimento da chave privada do validador |
Ronin é o exemplo clássico: a Sky Mavis controlava 4 dos 9 validadores de sua ponte e um acesso temporário não revogado permitiu a um atacante (atribuído ao Lazarus Group da Coreia do Norte) autorizar retiradas fraudulentas sem detecção por seis dias.
A IoTeX identificou o ataque em poucas horas, o que é um avanço. Porém, a velocidade não impede o roubo inicial quando uma chave privada concede acesso a milhões em ativos bloqueados. Como observado por Mitchell Amador da Immunefi, com o código mais seguro, o principal alvo em 2026 são as pessoas.
Panorama mais amplo de riscos cross-chain
Hacks em pontes cross-chain já somam mais de US$ 2,8 bilhões desde 2022, tornando pontes o principal vetor de ataque em volume financeiro. Só em janeiro de 2026, foram quase US$ 400 milhões roubados na indústria cripto, com pontes representando parcela relevante.
O problema é estrutural: pontes concentram grande valor em poucos contratos controlados por poucas chaves. Isso cria um alvo de alto valor e único ponto de falha que atrai invasores sofisticados, inclusive grupos patrocinados por Estados.
A taxa de recuperação mostra o cenário: em 2025, apenas 4,6% dos fundos foram devolvidos via negociação. Outros 13% foram congelados ou inutilizados por ação das equipes. Mas 53,6% dos fundos ainda estão em carteiras inativas, aguardando esfriar para nova lavagem.
Algumas soluções vêm sendo adotadas:
Verificação de cliente leve nativo, como em projetos Succinct e Polymer, elimina a necessidade de confiar em validadores ao usar provas de conhecimento zero. Multiassinaturas e rotação de chaves reduzem o impacto de um possível comprometimento. Módulos de segurança física dificultam a extração remota de chaves. Limites de saque, mesmo para endereços privilegiados, poderiam ter restringido drasticamente a perda na IoTeX.
Todas essas soluções já existem em outras pontes. A questão é por que muitos projetos, incluindo a IoTeX, ainda não as adotaram.
O que aconteceu com o preço do IOTX?
IOTX era negociado a US$ 0,0054 antes do incidente ir a público. O token caiu para US$ 0,0042 nas horas seguintes (queda de 22%). Em 24 de fevereiro, o preço estava por volta de US$ 0,0045, com valor de mercado de cerca de US$ 43 milhões segundo o CoinMarketCap.
O volume negociado disparou mais de 500% nas 24h seguintes ao hack, ultrapassando US$ 17 milhões com saída de vendedores em pânico e entrada de traders oportunistas. A Upbit da Coreia do Sul colocou IOTX em alerta e suspendeu depósitos e saques temporariamente. A Binance também suspendeu transações relacionadas à IoTeX preventivamente.
A máxima histórica do token (US$ 0,26 em 2021) está 98% acima do valor atual. Mesmo antes do hack, o IOTX vinha em tendência de queda desde o fim de 2025, refletindo fraqueza geral dos altcoins médios, mais do que problemas específicos do projeto. O incidente agravou uma tendência já existente.
A IoTeX anunciou que um plano de compensação para usuários afetados será publicado em até 48 horas após o ocorrido. A maior parte dos tokens CIOTX e CCS emitidos foi congelada ou está em processo de recuperação, o que deve limitar impactos de longo prazo no mercado.
O que isso significa para traders?
Três lições práticas do hack da IoTeX:
Exposição a pontes é risco de protocolo. Se você detém tokens wrapped em qualquer chain (CIOTX, wETH, wBTC via pontes terceirizadas), seu risco não é só ao ativo original, mas à segurança da ponte e seus validadores. Um hack pode zerar o valor do token wrapped, mesmo que o ativo base esteja intacto. Reflita se há alternativas nativas melhores.
Fique atento ao prazo da recompensa. A janela de 48 horas da IoTeX para retorno dos fundos cria um catalisador de curto prazo. Se o invasor devolver, pode aliviar pressões e até gerar recuperação de preço. Caso contrário, espere escalada do caso para autoridades e possível oferta pública de recompensa por informações, como ocorreu com Euler. O cronograma de retomada da chain e o plano de compensação também influenciarão o preço no curto prazo.
Ataques a chaves privadas são o novo padrão. Auditorias de contratos evoluíram muito desde 2021. Explorações por código ainda ocorrem (como no CrossCurve em fevereiro de 2026), mas são menos comuns que falhas operacionais. Antes de usar qualquer ponte, verifique se há multiassinatura, distribuição de chaves, uso de módulos de segurança e limites de operação. A ioTube da IoTeX dependia de uma única chave de validador para contratos críticos na Ethereum — exatamente o ponto explorado.
FAQ
A IoTeX é golpe após o hack?
Não. A IoTeX é um projeto legítimo fundado em 2017, com parcerias com Google, Samsung e ARM, além de integração com a AggLayer da Polygon. O hack ocorreu devido a falha operacional na ponte ioTube, não na chain principal. Ainda assim, a perda de US$ 4,3 milhões por uma chave privada comprometida levanta questionamentos legítimos sobre as práticas de segurança, principalmente considerando indícios de planejamento prévio.
O hacker vai devolver os fundos?
É impossível prever. Analistas ligaram a carteira do atacante ao exploit Infini de US$ 49 milhões em 2025, indicando operação organizada e sofisticada, menos propensa à negociação do que hackers solo (como no caso Euler). O uso da THORChain para enviar fundos ao Bitcoin dificulta a recuperação legal.
Quanto a IoTeX realmente perdeu?
A resposta varia: a IoTeX fala em cerca de US$ 4,3 milhões retirados do TokenSafe. A PeckShield estima mais de US$ 8 milhões incluindo tokens CIOTX e CCS emitidos. Inicialmente, a IoTeX reportou prejuízo de US$ 2 milhões e revisou para cima. Tokens emitidos mas bloqueados podem não representar perdas permanentes.
Pontes cross-chain são seguras?
Pontes seguem como infraestrutura de maior risco em cripto por volume perdido. Mais de US$ 2,8 bilhões foram roubados desde 2022. Se for usar, minimize o valor e tempo de exposição, prefira pontes com validadores descentralizados ou verificação por provas de conhecimento zero, e evite deixar tokens wrapped parados em contratos.
Conclusão
O hack da IoTeX é um estudo de caso de US$ 4,3 milhões mostrando que o problema de segurança em cripto migrou do código para as chaves. Os contratos inteligentes funcionaram; as auditorias não evitaram. Uma única chave privada comprometida, possivelmente obtida após meses de preparação por um atacante ligado a outro exploit de US$ 49 milhões, foi suficiente para drenar uma ponte na qual milhares confiavam.
A oferta de recompensa de 10% segue um padrão que já teve êxito (Euler, Sentiment) e fracassos (KyberSwap). O desfecho dependerá do perfil do invasor: grupo organizado com infraestrutura para lavagem ou agente que perceba que é mais difícil gastar 66 BTC monitorados do que aceitar US$ 440 mil.
Para traders, a lição é estrutural: pontes cross-chain concentram valor e atraem atacantes sofisticados, inclusive patrocinados por Estados. Enquanto a indústria não migrar para verificação trustless (provas ZK, light clients nativos) e abandonar modelos baseados em chaves de validadores, toda ponte relevante segue em risco. A dúvida não é se haverá outro ataque, mas qual ponte e como ela reagirá.
Disclaimer: Este artigo é apenas para fins informativos e não constitui aconselhamento financeiro. Investimentos em criptomoedas envolvem risco. Sempre pesquise antes de tomar decisões.
