Анонімний фахівець із кібербезпеки під ніком al_f4lc0n розповів про багатомісячний конфлікт із командою криптопроекту Injective. Команда, за словами білого хакера, удесятеро знизила обіцяну винагороду за знайдену критичну помилку.
Білий хакер стверджує, що виявив у протоколі вразливість, через яку проект міг втратити $500 млн через несправну систему валідації. Згідно зі звітом про помилку, опублікованому в репозиторії GitHub під назвою injective-wall-of-shame, виявлена вразливість дозволяла будь-якому охоче безпосередньо спустошувати будь-який рахунок у блокчейні без будь-яких спеціальних дозволів.
Скориставшись помилкою у системі перевірки субакаунтів, зловмисники могли б розміщувати ринкові ордери від імені інших користувачів. Вразливість дозволяла створювати марні токени і відкривати спотову торгівлю в парі зі стейблкоіном USDT – ці операції на платформі Injective не вимагають дозволу, що дає можливість провести атаку, стверджує хакер.
Створивши ордер на продаж підроблених токенів, зловмисник міг змусити потенційних жертв купувати ці токени за USDT «за обраною ним ціною», а потім переказувати кошти з Injective до Ефіріуму. Дослідник наполягає: це поставило під загрозу усі кошти Injective — загальна сума збитків перевищила б $500 млн. Зараз це $280 млн, причому майже вся сума припадає на токен INJ.
al_f4lc0n заявив, що команда Injective пообіцяла $500 000 за виявлення критичних загроз, пов'язаних із блокчейном та смарт-контрактами. Дослідник стверджує, що для виправлення помилки керівництво проекту винесло на голосування питання щодо проведення оновлення. Це означає: команда Injective розуміла серйозність проблеми. Однак al_f4lc0n незадоволений, що компанія ігнорувала його протягом трьох місяців, незважаючи на виправлення помилки, а потім удесятеро знизила суму винагороди – до $50 000.
У 2022 році сталася схожа ситуація: білий хакер отримав $540 000 замість обіцяних $2 млн за виявлення критичної вразливості в Arbitrum, рішення щодо масштабування мережі Ефіріуму.