Gate Newsの報道によると、3月17日、暗号セキュリティ研究者al_f4lc0nは、ブロックチェーンプロジェクトInjectiveが重大なセキュリティ脆弱性の対応過程でコミュニケーションの遅れやバウンティ(報奨金)に関する争議を抱えていると公開指摘しました。この脆弱性は一時、5億ドルを超えるオンチェーン資産の安全を脅かすとされ、コミュニティからプロジェクトのセキュリティガバナンスに対する疑問が提起されました。
公開された情報によると、この脆弱性はサブアカウントの検証メカニズムの欠陥に起因し、攻撃者は権限なしに他者のアカウントを代表して取引を行うことが可能です。具体的には、攻撃者は偽のトークンを作成し、USDTと取引ペアを構築、操縦された市場価格の注文を利用して被害者のアカウントに価値のない資産を異常な価格で買わせ、その資金を自分の管理アドレスに移動させ、その後クロスチェーンを経由してイーサリアムネットワークへ送金します。
al_f4lc0nはGitHubに完全な技術レポートを公開し、この脆弱性は公開時点で全てのオンチェーン資金を覆い、リスク規模は5億ドルを超えると述べています。確認された潜在的損失は約2.8億ドルで、その大部分はINJトークンに関係しています。レポート内では、「この脆弱性はほぼ任意のアカウント資金を直接引き出すことを可能にした」と明言しています。
バウンティ(報奨金)に関する争議も拡大しています。研究者は、脆弱性修正後の三ヶ月間、プロジェクト側からの回答がなかったと述べ、その後受け取った報奨金は5万ドルにとどまり、以前に公表された最高50万ドルの基準を大きく下回っている上、未だ実際に支払われていないと指摘しています。
公開資料によると、Injectiveは過去に脆弱性バウンティプラットフォームを通じて高額の報奨金制度を設け、セキュリティ研究者に重要な脆弱性の開示を促してきました。しかし、今回の事件は、その脆弱性対応の流れやインセンティブメカニズムに対する見直しを促しています。
執筆時点では、関係する告発に対してプロジェクト側から正式な回答は得られていません。業界関係者は、DeFiやオンチェーン資産の規模が拡大し続ける中、脆弱性の開示メカニズムや対応の迅速さ、報奨金の透明性が、ブロックチェーンプロジェクトの安全性と信頼性を測る重要な指標となっていると指摘しています。(Protos)
