Hacker mũ trắng phát hiện lỗ hổng Injective, chờ thưởng 50.000 USD

Lỗ hổng bị mô tả là nghiêm trọng trong giao thức Injective có thể dẫn tới việc rút trực tiếp hơn 500 triệu USD tài sản trên chuỗi, nhưng white-hat f4lc0n cho biết đội ngũ dự án chỉ đề nghị thưởng 50.000 USD.

f4lc0n nói lỗ hổng cho phép xóa bất kỳ tài khoản nào trên blockchain mà không cần đặc quyền, đã được báo cáo qua Immunefi; Injective mở bỏ phiếu nâng cấp mainnet để vá ngay hôm sau, nhưng theo anh, dự án im lặng suốt 3 tháng và khoản thưởng vẫn chưa được trả.

Diễn biến lỗ hổng và mức độ rủi ro

f4lc0n cho biết lỗ hổng cho phép bất kỳ người dùng nào xóa bất kỳ tài khoản nào trên blockchain mà không cần quyền đặc biệt, và có thể dẫn tới việc trích xuất trực tiếp hơn 500 triệu USD tài sản trên chuỗi.

Theo bài đăng trên nền tảng X, f4lc0n gắn nhãn lỗ hổng là critical. Anh mô tả rủi ro không giới hạn ở một nhóm tài khoản hay quyền truy cập, mà là khả năng tác động trực tiếp đến bất kỳ tài khoản nào trên mạng lưới.

Sau khi gửi báo cáo qua Immunefi, anh cho biết đội ngũ Injective đã khởi động một cuộc bỏ phiếu nâng cấp mainnet để sửa lỗi vào ngày hôm sau. Không có thêm chi tiết kỹ thuật hoặc chỉ dấu on-chain khác được nêu trong nội dung gốc.

Tranh chấp tiền thưởng và phản ứng của f4lc0n

White-hat nói dự án chỉ đề nghị thưởng 50.000 USD và mức này thấp hơn đáng kể so với mức tối đa dự kiến 500.000 USD cho cấp độ lỗ hổng này; anh cũng tuyên bố khoản 50.000 USD chưa được thanh toán.

f4lc0n cho biết sau khi Injective mở vote nâng cấp, dự án đã out of contact trong 3 tháng tiếp theo. Anh đang tranh chấp số tiền thưởng, nhấn mạnh khoảng cách giữa mức đề nghị và khung thưởng tối đa được nêu cho loại lỗ hổng này.

Để gây áp lực, f4lc0n tuyên bố sẽ dành 10% doanh thu tiền thưởng săn lỗi trong tương lai để liên tục công khai vấn đề cho đến khi Injective chi trả tiền thưởng theo tiêu chuẩn.