Gate News 消息,3 月 17 日,加密安全研究员al_f4lc0n公开指控区块链项目Injective在处理重大安全漏洞过程中存在沟通迟缓与赏金争议问题。该漏洞被指一度威胁超过5亿美元链上资产安全,引发社区对项目安全治理的质疑。
根据披露信息,该漏洞源于子账户验证机制缺陷,攻击者可在无需权限的情况下代表他人账户执行交易。具体而言,攻击者可创建虚假代币并与USDT构建交易对,通过操控市价单迫使受害者账户以异常价格买入无价值资产,从而转移资金至自身控制地址,随后再跨链转移至以太坊网络。
al_f4lc0n在GitHub发布完整技术报告,称该漏洞在披露时覆盖链上全部资金,风险规模超过5亿美元。目前已确认的潜在损失约为2.8亿美元,其中大部分涉及INJ代币。其在报告中直言,该漏洞“几乎允许直接提取任意账户资金”。
围绕赏金问题,争议进一步扩大。该研究员表示,在漏洞修复完成后长达三个月未获得项目方回应,随后收到的奖励仅为5万美元,远低于平台此前公布的最高50万美元赏金标准,且截至目前仍未实际支付。
公开资料显示,Injective曾通过漏洞赏金平台设立高额奖励机制,用于鼓励安全研究人员披露关键漏洞。然而,此次事件使得其漏洞响应流程及激励机制受到审视。
截至发稿,相关指控尚未获得项目方正式回应。业内人士指出,随着DeFi及链上资产规模持续扩大,漏洞披露机制、响应效率及赏金兑现透明度,正成为衡量区块链项目安全可信度的重要指标。(Protos)
