一名白帽駭客公開了與Injective團隊長達數月的爭執,起因是該團隊對一個嚴重漏洞披露的回應。
報告稱,該漏洞導致驗證系統故障,使 5 億美元面臨風險。
化名 al_f4lc0n 的加密安全研究員指責Injective在修復漏洞後三個月內對他們不予理睬,之後又大幅削減了賞金。
閱讀更多:以太坊地址投毒事件激增,“錢包尚未做好準備”,研究人員稱
漏洞
賞金獵人將完整的錯誤報告上傳到了名為「injective-wall-of-shame」的 GitHub 儲存庫中。
該程式碼庫的自述文件標題為“我拯救了 Injective 的 5 億美元,他們付給我 5 萬美元”,其中解釋說,該漏洞允許“任何用戶直接盜空鏈上的任何帳戶。無需任何特殊權限。”
更詳細的技術報告描述了有缺陷的子帳戶驗證系統如何允許攻擊者代表其他用戶提交市價單。
攻擊者可以利用此漏洞創建一個毫無價值的代幣,並創建一個現貨市場,將其與USDT配對交易。在Injective上,這兩種操作都不需要獲得許可。
然後,攻擊者透過創建虛假代幣的賣單,可以強迫受害者帳戶以攻擊者設定的價格購買價值USDT美元的虛假代幣。之後,攻擊者無需許可即可將這些USDT美元從Injective橋接到以太坊。
該報告稱,這使得區塊鏈上的所有價值都面臨風險,揭露時總價值超過 5 億美元。
目前該數字為 2.8 億美元,其中絕大部分是INJ代幣。
嵌入式報導: Oracle 錯誤加劇了 DeFi 巨頭Aave的動盪
賞金
Injective是一個區塊鏈網絡,其合作夥伴包括 Binance、Jump、Google 和 Pantera 等公司,並聲稱「機構和政府參與者正在加入我們」。
漏洞賞金是組織機構利用眾包方式,從專業的白帽漏洞賞金「獵人」那裡獲取持續安全監控服務的常見方法。
Injective 的 ImmuneFi 頁面列出了針對與其區塊鏈和智能合約相關的重大威脅的最高賞金 50 萬美元。
該研究人員聲稱,“修復漏洞的主網升級方案已提交治理投票表決。Injective 團隊Injective意識到了問題的嚴重性。”
他們還聲稱,在修復漏洞後, Injective「銷聲匿跡」了三個月,之後才提供的賞金比最高賞金低了十倍。 「需要明確的是:那5萬美元的賞金也還沒有支付,」他們強調。
Protos已聯繫Injective就al_f4lc0n的說法尋求置評,但在發稿前尚未收到回應。如有回复,本文將進行更新。
