ioTube 安全事件更新第 3 期：完全恢复和赔偿计划

这是我们在2 月 21 日 ioTube 桥接安全事件和2 月 24 日主网 v2.3.4 激活后的第三个更新。IoTeX 团队一直在与主要交易所、安全专家和全球执法机构通力合作，跟踪和恢复被盗资金。虽然 ioTeX L1 未受到事件影响并保持安全，但我们认识到此事件对 ioTube 用户的实际影响。

无论恢复结果如何，IoTeX 基金会承诺将所有受影响用户补偿，确保每位受影响用户获得 100% 的赔偿。本博客概述了一项明确的赔偿计划，以为绝大多数社区用户提供即时救助，同时保持生态系统的长期稳定性和可持续性。

调查与资产恢复更新

自安全事件以来，IoTeX 基金会已经立即采取了积极措施追踪和恢复受影响的资产。我们的调查和资产恢复状态的完整细节可以在这篇博客中找到，并在下面总结。

• 链上追踪：已成功追踪 100% 的被盗资金流动。我们正在与交易所和安全公司协调，24/7 监控持有被盗资金的地址。
  ➔ CIOTX： 在攻击者铸造的 4.1 亿 CIOTX 中，超过 86% 已通过主网 v2.3.4 部署的链级控制被永久锁定/冻结，12.8% 已追踪到 Binance 并有效冻结。仅有 0.4%（170 万 CIOTX）通过 DEX 交换，视为风险资产。
  ➔ 桥接储备资产（USDC、USDT、WBTC、ETH）： 被盗的桥接储备资产已转换为约 2,183 ETH，其中约 1,572 ETH 通过 THORChain 桥接至比特币。持有总计 66.78 BTC 的 4 个比特币地址在 24/7 监控下。这些资金仍未使用。
• 白帽赏金：我们已向攻击者发布公开链上消息，提供10% 白帽赏金以换取被盗资金的安全归还。该报价的有效期至 2 月 25 日。之后，我们将不遗余力地使用所有法律、技术和调查工具。
• 执法和安全合作伙伴：已向 FBI 和全球执法合作伙伴提交正式报告。我们正在积极协助保存请求和在各个相关平台上采取冻结资产措施。

完全赔偿计划与资格

⭐️ 资格标准：在事件发生时，在 IoTeX L1 上持有来自以太坊（USDC、USDT、ETH、WBTC）的合法桥接资产的任何钱包所有者都有资格获得全额赔偿。

IoTeX 基金会将确保每位受影响的用户获得 100% 的赔偿。为了最大限度地提高立即补偿的用户数量，我们实施了分层赔偿模型：

层级 1：立即完全恢复

• 资格：受影响余额总额不超过 10,000 美元（等值）。
• 解决方案：100% 的失去资产将可在赔偿门户启动时以稳定币或以太坊上的本地资产进行索赔。
• 影响：层级 1覆盖超过 90% 的受影响用户，确保绝大多数 IoTeX 社区及时获得赔偿。

层级 2：分阶段完全恢复（附加奖励）

• 资格：受影响余额总额超过 10,000 美元（等值）。
• 解决方案：前 10,000 美元将在索赔门户启动时可立即索赔。超出余额将在 12 个月内按季度分配。层级 2 的索赔者还将在延迟部分上获得额外的 10% 奖金，以 IOTX 支付，按当前 IOTX 价格和从每次发放起 12 个月内质押支付季度分配。
• 影响：层级 2 确保约 10% 的用户（超过 10,000 美元的受影响资金）获得全额赔偿，并在延迟部分上获得 10% 的 IOTX 奖金，同时保持 IoTeX 网络的长期稳定性。

注意：任何被安全合作伙伴识别为属于攻击者、与利用实体相关或参与后利用套利的地址将不符合赔偿资格。

索赔门户与恢复流程

为了确保一种可验证且简化的流程，使所有受影响用户恢复正常，IoTeX 基金会将推出恢复存款地址和索赔门户，允许受影响用户以安全的方式请求和接收赔偿。这些将在2 月 27 日星期五上线。

在高层次上，IoTeX 区块链上的恢复存款地址将作为与被盗的受影响资产（以太坊侧）相对应的桥接资产（IoTeX 侧）的存款中心。一旦桥接资产（IoTeX 侧）转移到恢复存款地址，受影响用户将通过索赔门户提交索赔，提供关于他们钱包、受影响资产、存款交易哈希和联系信息的信息。一旦索赔得到验证，IoTeX 基金会将向受影响用户发放等值的存款资产，基于以太坊区块链。整个过程的细节如下。

步骤 1：官方恢复存款地址和索赔门户链接

IoTeX 基金会将在2 月 27 日星期五通过验证的渠道（官方 IoTeX 网站、Twitter/X、Discord 和 Telegram）分享官方恢复存款地址和索赔门户链接。

⚠️ 安全警告：切勿信任通过 DM 或不受验证的来源发送的任何信息。在继续之前，通过至少两个官方 IoTeX 渠道验证地址和链接。

步骤 2：资产准备与存款

1. 提取资产：如果您的受影响桥接资产 (WBTC、ETH、USDC、USDT) 当前在 IoTeX 中的 DeFi 协议（如借贷平台或流动性池）上部署，请将其提取回您的 IoTeX 钱包。如果您的资产已经在您的 IoTeX 钱包中，您可以跳过此步骤。
2. 钱包检查： 确保您可以访问以太坊区块链上的 IoTeX 钱包地址，因为赔偿将支付到相同的以太坊钱包地址。如果您无法轻松访问以太坊上的 IoTeX 钱包地址（例如，Ledger 用户），请将您的资产转移到能够同时在 IoTeX 和以太坊上访问的单一新 IoTeX 钱包。切勿将您的单个资产余额拆分到多个钱包中（例如，100 USDT -> 50 USDT、25 USDT、25 USDT），因为这将导致失去资格。
3. 转账：直接从您的 IoTeX 钱包发送受影响的桥接资产到指定的恢复存款地址，每种资产类型使用单一交易（例如，仅对 ETH 进行一笔交易，仅对 WBTC 进行一笔交易等），并记录每笔单独的交易哈希。

⚠️ 合规说明： 在将受影响的桥接资产发送到恢复存款地址之前，切勿将您的资产余额拆分到多个钱包中或重组您的资产以规避层级门槛。违反这些规则将导致索赔被标记、处理延迟或失去资格。任何与利用者相关或参与任何后利用恶意活动的钱包将被标记为不符合赔偿资格。

步骤 3：索赔提交 一旦您的存款确认到恢复存款地址的链上，提交正式索赔通过索赔门户在 2 月 27 日星期五上线时，提供以下信息：

• 存款资产到恢复存款地址的 IoTeX 钱包地址
• 存入恢复存款地址的资产类型和金额
• 您的存款交易哈希（每种资产类型一个哈希）
• 联系信息（电子邮件、Telegram 和/或 Discord）

步骤 4：验证与支付

IoTeX 基金会将审核并验证每个索赔与链上数据和每位用户所做的实际存款交易。赔偿将根据上述等级（一层：≤10k，二层：>10k）在以太坊区块链上相应发放，一旦审核和验证完成。

步骤 5：持续透明性

基金会将定期发布恢复报告，详细说明收到的索赔数量、处理的总价值以及剩余义务的状态。

来自 IoTeX 基金会的消息

我们对这一事件承担全部责任，并紧急开展工作，确保每位受影响用户的权益。IoTeX 基金会将对所有桥接基础设施进行独立安全审计，并承诺公开分享调查结果并实施结构性保障，以防止此事件再次发生。任何网络的强度最终是通过其对逆境的反应来衡量的，我们打算设定这个标准。

在这起桥接攻击事件中，IoTeX 网络的基础仍然坚固——IoTeX L1 区块链仍然安全，我们的核心团队 intact，并比以往更加承诺，社区建设 DePIN 和真实世界 AI 未来的热情依然不灭。IoTeX 的最佳日子还有待到来。感谢您的耐心与持续支持。

- IoTeX 基金会