Acabo de encontrar algo bastante sorprendente en el ecosistema de Injective. Un hacker de sombrero blanco llamado f4lc0n descubrió una vulnerabilidad crítica que podría haber drenado más de $500 millones del protocolo. Suena serio, ¿verdad? Pero aquí es donde se pone interesante.

Este hacker de sombrero blanco envió el informe de error a través de Immunefi, y para su crédito, el equipo de Injective actuó rápidamente—inició una votación para una actualización en la red principal al día siguiente para corregirlo. Pero luego, silencio total durante tres meses. Eso... no es una buena imagen.

¿La verdadera sorpresa? La situación de la recompensa. El protocolo ofreció $50,000 como recompensa, pero el máximo estándar para una vulnerabilidad crítica en ese nivel debería ser de $500,000. Estamos hablando de una diferencia del 90%. f4lc0n está comprensiblemente frustrado, especialmente porque el $50K todavía no ha sido pagado.

Lo que hace esto aún más complicado es la naturaleza de la vulnerabilidad en sí: cualquier usuario podría haber borrado cualquier cuenta en la blockchain sin necesidad de permisos especiales. Eso no es un error de caso extremo; es un problema de seguridad fundamental.

Ahora, f4lc0n está tomando una postura. Dice que dedicará el 10% de todas las ganancias futuras de recompensas por errores a denunciar públicamente esto hasta que Injective pague lo que él considera una recompensa adecuada. Es un movimiento interesante—usar los ingresos futuros de recompensas como palanca para destacar lo que él ve como un trato injusto.

Toda esta situación plantea preguntas sobre cómo diferentes protocolos manejan a los investigadores de seguridad y las estructuras de recompensas. Cuando un hacker de sombrero blanco encuentra algo tan crítico y recibe una paga significativamente menor (y se retrasa), no exactamente fomenta que otros reporten vulnerabilidades de manera responsable. Será interesante ver cómo se resuelve esto.