화이트햇 해커가 Injective 개발팀과의 수개월에 걸친 갈등을 공개적으로 밝혔습니다. 이 갈등은 인젝티브(Injective) 팀이 심각한 버그를 발견한 후 보인 대응을 둘러싼 것이었습니다.
보고서에 따르면, 문제의 취약점은 잘못된 검증 시스템을 통해 5억 달러의 손실을 초래할 위험이 있다고 합니다.
익명 익명성 화폐 보안 연구원인 al_f4lc0n은 인젝티브(Injective) 사가 버그를 수정했음에도 불구하고 3개월 동안 연락을 끊고, 이후 보상금도 낮게 제시했다고 비난했습니다.
자세히 보기: 이더리움 주소 포이즈닝 급증, '지갑이 아직 준비되지 않았다'고 연구원 발언
벌레
버그 현상금 사냥꾼은 "injective-wall-of-shame"이라는 이름의 GitHub 저장소에 전체 버그 보고서를 업로드했습니다.
"내가 Injective의 5억 달러를 구했다. 그들은 내게 5만 달러를 지불했다"라는 제목의 저장소 README 파일에서 그들은 해당 취약점이 "특별한 권한 없이도 모든 사용자가 블록체인 상의 어떤 계정에서든 직접 자금을 인출할 수 있도록 허용했다"고 설명합니다.
보다 상세한 기술 보고서에는 결함이 있는 하위 계정 검증 시스템으로 인해 공격자가 다른 사용자를 대신하여 시장 주문을 제출할 수 있었던 과정이 설명되어 있습니다.
이 버그는 공격자가 가치가 없는 토큰을 생성하고 이를 테더 USDT(USDT) 와 페어링하여 현물 시장을 만드는 방식으로 악용될 수 있었습니다. 인젝티브(Injective) 에서는 이러한 두 가지 작업 모두 비허가형(Permissionless) 할 수 있습니다.
그런 다음, 공격자는 가짜 토큰의 매도 주문을 생성하여 피해자 계정이 "공격자가 선택한 가격"으로 가치 없는 토큰을 테더 USDT(USDT) 로 구매하도록 강요할 수 있습니다. 이렇게 얻은 테더 USDT(USDT) 는 인젝티브(Injective))를 통해 이더리움으로 무허가 브릿징될 수 있습니다.
보고서에 따르면 이로 인해 블록체인 상의 모든 가치가 위험에 처했으며, 공개 당시 총 피해액은 5억 달러를 넘었다고 합니다.
현재 그 금액은 2억 8천만 달러이며, 그 대부분은 인젝티브(INJ) 토큰으로 보유되어 있습니다.
본문 삽입: 오라클 오류로 DeFi 거대 기업 아베(AAVE) 에 혼란 가중
현상금
인젝티브(Injective) 는 Binance, Jump, Google, Pantera 등을 파트너로 내세운 블록체인 네트워크로, "기관 및 정부 관계자들이 참여하고 있다"고 주장합니다.
버그 바운티는 조직이 전문적인 화이트햇 바운티 헌터로부터 지속적인 보안 모니터링을 크라우드소싱하는 일반적인 방법입니다.
Injective의 ImmuneFi 페이지에는 자사 블록체인 및 스마트 계약과 관련된 심각한 위협에 대해 최대 50만 달러의 현상금이 걸려 있다고 명시되어 있습니다.
해당 연구원은 "버그를 수정하기 위한 메인넷 업그레이드가 운영진 투표에 부쳐졌습니다. 인젝티브(Injective) 팀은 문제의 심각성을 분명히 인지하고 있었습니다."라고 주장했습니다.
그들은 또한 인젝티브(Injective) 문제 해결 후 3개월 동안 연락이 두절되었다가 최대 금액의 10분의 1밖에 되지 않는 현상금을 제시했다고 주장합니다. "분명히 말하지만, 5만 달러도 아직 지급되지 않았습니다."라고 그들은 강조합니다.
Protos는 al_f4lc0n의 주장에 대한 인젝티브(Injective) 의 의견을 요청했지만, 발행 시점까지 답변을 받지 못했습니다. 답변을 받는 대로 이 기사를 업데이트하겠습니다.
