ioTube 安全事件更新第三号：全面恢复与赔偿计划

这是我们在 2 月 21 日发布的 ioTube 桥安全事件 和 2 月 24 日的 Mainnet v2.3.4 激活 之后发布的第三个更新。IoTeX 团队与主要交易所、安全专家和全球执法部门通力合作，昼夜追踪和恢复被盗资金。尽管 IoTeX L1 未受到事件影响并且保持安全，我们认识到该事件对 ioTube 用户产生的实际影响。

无论恢复结果如何，IoTeX 基金会承诺让所有受影响的用户得到公平补偿，确保每个受影响的用户获得 100% 赔偿。这篇博客概述了一个明确的赔偿计划，旨在为绝大多数社区用户提供即时救助，同时维护生态系统的长期稳定和可持续性。

调查与资产恢复更新

自安全事件发生以来，IoTeX 基金会已采取立即且积极的措施以追踪和恢复受影响的资产。我们调查和资产恢复状态的完整细节可以在 这篇博客 中找到，并在下文中进行了总结。

• 链上追踪：被盗资金的 100% 交易已成功追踪。我们正在与交易所和安全公司协调，24/7 监控持有被盗资金的地址。
  ➔ CIOTX： 在攻击者铸造的 410M 未经授权的 CIOTX 中，86% 以上通过在 Mainnet v2.3.4 中部署的链级控制被永久锁定/冻结，而 12.8% 已经追踪到 Binance 并有效冻结。仅有 0.4% （1.7M CIOTX）通过 DEX 交换被判定为有风险。
  ➔ 桥接储备资产（USDC，USDT，WBTC，ETH）： 被盗的桥接储备资产已被转换为 ~2,183 ETH，其中 ~1,572 ETH 通过 THORChain 桥接到比特币。持有总共 66.78 BTC 的 4 个比特币地址正在 24/7 监控中。这些资金仍未被使用。
• 白帽赏金： 我们已向攻击者发布了一条公开的链上信息，提供 10% 的白帽赏金以换取安全返还被盗资金。此报价的有效期至 2 月 25 日。之后，我们将不遗余力地利用每一个法律、技术和调查手段。
• 执法与安全合作伙伴： 我们已向 FBI 及全球执法合作伙伴提交了正式报告。我们正在积极合作以进行保全请求和资产冻结行动。

全面赔偿计划与资格

⭐️ 资格标准： 在事件发生时，任何持有来自以太坊（USDC，USDT，ETH，WBTC）的合法桥接资产的用户都将有资格获得完全赔偿。

IoTeX 基金会将确保每个受影响的用户获得 100% 赔偿。为了最大化立即获得补偿的用户数量，我们实施了分层赔偿模型：

第 1 级：即时完全恢复

• 资格： 受影响的总余额不超过 10,000 美元（等值）。
• 解决方案： 100% 的丢失资产将在赔偿门户上线后以稳定币或以太坊上的原生资产进行索赔。
• 影响： 第 1 级覆盖>90% 的受影响用户，确保绝大多数 IoTeX 社区用户立即获得赔偿。

第 2 级：分阶段完全恢复（带奖金）

• 资格： 受影响的总余额超过 10,000 美元（等值）。
• 解决方案： 第一个 10,000 美元将在赔偿门户上线后可立即索赔。超过的余额将在 12 个月内按季度平分的形式分配。第 2 级索赔人还将获得额外 10% 的奖金，作为对分阶段退款期的进一步补偿，支付为 12 个月的质押 IOTX。
• 影响： 第 2 级确保约 10% 的用户拥有超过 10,000 美元的受影响资金，随着时间推移获得 110% 的受影响价值赔偿，同时维护 IoTeX 网络的长期稳定性。

注意：任何被安全合作伙伴认定为属于攻击者的地址，与利用实体相关或参与后利用套利的，将不符合赔偿资格。

索赔门户与恢复流程

为了确保一个可验证且简化的流程，使所有受影响的用户得到补偿，IoTeX 基金会将启动一个恢复存款地址 和索赔门户，允许受影响的用户以安全的方式请求和接收赔偿。这些将于2 月 27 日星期五上线。

从高层次来看，IoTeX 区块链上的恢复存款地址将作为桥接资产（IoTeX 端）存款中心，镜像被盗的受影响资产（以太坊端）。一旦桥接资产（IoTeX 端）转移到恢复存款地址，受影响用户将通过索赔门户提交与其钱包、受影响资产、存款交易哈希和联系信息相关的索赔。索赔得到验证后，IoTeX 基金会将向受影响用户发放相应数量的存入资产在以太坊区块链上的补偿。端到端的过程如下所述。

第 1 步：官方恢复存款地址与索赔门户链接

IoTeX 基金会将在2 月 27 日星期五通过验证渠道（官方 IoTeX 网站、Twitter/X、Discord 和 Telegram）分享一条官方恢复存款地址 和索赔门户链接。

⚠️ 安全警告：切勿相信任何通过 DM 或未经验证来源发送的信息。在继续之前，请在至少两个官方 IoTeX 渠道上核实地址和链接。

第 2 步：资产准备与存款

1. 提取资产：如果您受影响的桥接资产 (WBTC, ETH, USDC, USDT) 当前已在 IoTeX 上的 DeFi 协议中（例如借贷平台或流动性池），请将其提取回您的 IoTeX 钱包。如果您的资产已经在您的 IoTeX 钱包中，您可以跳过此步骤。
2. 钱包检查：确保您可以访问以太坊区块链上的 IoTeX 钱包地址，因为赔偿将支付到相同的钱包地址。如果您无法方便地访问以太坊上的 IoTeX 钱包地址（例如，Ledger 用户），请将您的资产转移到一个新的 IoTeX 钱包，该钱包在 IoTeX 和以太坊上均可访问。请勿 将您的个人资产余额拆分为多个钱包（例如，100 USDT -> 50 USDT，25 USDT，25 USDT），因为这将导致失去资格。
3. 转账：将受影响的桥接资产直接从您的 IoTeX 钱包发送到指定的恢复存款地址，每种资产类型 (例如，仅针对 ETH 进行一次交易，仅针对 WBTC 进行一次交易，等等) 进行单笔交易 并记录每笔交易哈希。

⚠️ 合规注意事项：在将受影响的桥接资产发送到恢复存款地址之前，切勿 将资产余额拆分为多个钱包或以其他方式重组资产以规避层级阈值。违反这些规则将导致索赔被标记、处理延迟或失去资格。任何与黑客或任何后利用恶意活动相关联的钱包将被标记为不符合赔偿资格。

第 3 步：索赔提交一旦确认您对恢复存款地址的存款在链上，则可在2 月 27 日星期五正式索赔通过索赔门户，提交以下信息：

• 存入恢复存款地址的 IoTeX 钱包地址
• 存入恢复存款地址的资产类型和金额
• 您的存款交易哈希（每种资产类型一个哈希）
• 联系信息（电子邮件、Telegram 和/或 Discord）

第 4 步：验证与支付

IoTeX 基金会将审查并根据链上数据与每位用户的实际存款交易验证每个索赔。然后将在以太坊区块链上根据上述所述的级别进行相应补偿（即，第 1 级：≤$10k，第 2 级：>10k）一旦审核和验证完成。

第 5 步：持续透明性

基金会将定期发布恢复报告，详细说明收到的索赔数量、处理的总价值以及剩余义务的状态。

来自 IoTeX 基金会的一条消息

我们对这一事件承担全部责任，并紧急行动以让每位受影响用户得到补偿。IoTeX 基金会将对所有桥接基础设施进行独立的安全审计，并承诺公开分享审计结果并实施结构性保障，以防止此类事件再次发生。任何网络的强度最终取决于其应对逆境的能力，我们希望树立标准。

在此次桥接漏洞中，IoTeX 网络的基本面仍然强大 – IoTeX L1 区块链保持安全，我们的核心团队团结一致，比以往更有承诺，我们社区对构建 DePIN 和现实世界人工智能未来的热情从未减弱。IoTeX 最好的日子仍然在前方。感谢您的耐心和持续支持。

- IoTeX 基金会