Gate News rapporte que le 17 mars, le chercheur en sécurité cryptographique al_f4lc0n a publiquement accusé le projet blockchain Injective de retard dans la communication et de controverses concernant la rémunération des bugs lors de la gestion d’une vulnérabilité majeure. Cette faille aurait une fois mis en danger plus de 500 millions de dollars d’actifs en chaîne, suscitant des doutes de la communauté sur la gouvernance de la sécurité du projet.
Selon les informations divulguées, cette vulnérabilité provient d’un défaut dans le mécanisme de vérification des sous-comptes, permettant à un attaquant d’effectuer des transactions au nom d’un autre compte sans permission. Plus précisément, l’attaquant peut créer de faux tokens et établir une paire de trading avec l’USDT, en manipulant des ordres au marché pour forcer le compte victime à acheter des actifs sans valeur à un prix anormal, puis transférer les fonds vers une adresse sous son contrôle, avant de les transférer cross-chain vers le réseau Ethereum.
al_f4lc0n a publié un rapport technique complet sur GitHub, indiquant que cette vulnérabilité, lors de sa divulgation, couvrait la totalité des fonds en chaîne, avec un risque estimé à plus de 500 millions de dollars. La perte potentielle confirmée s’élève à environ 280 millions de dollars, la majorité impliquant le token INJ. Dans son rapport, il affirme que cette faille « permettait presque une extraction directe des fonds de n’importe quel compte ».
Concernant la question des récompenses, la controverse s’est intensifiée. Le chercheur a indiqué qu’après la correction de la vulnérabilité, il n’a pas reçu de réponse de la part du projet pendant trois mois, puis la récompense qu’il a finalement reçue n’était que de 50 000 dollars, bien en deçà du plafond de 500 000 dollars annoncé précédemment par la plateforme, et à ce jour, elle n’a toujours pas été versée.
Les informations publiques montrent qu’Injective avait mis en place un programme de récompenses élevé via une plateforme de bug bounty pour encourager les chercheurs en sécurité à divulguer des vulnérabilités critiques. Cependant, cet incident a mis en question la rapidité de réponse et la transparence du mécanisme de récompense.
Au moment de la rédaction, aucune réponse officielle du projet n’a été donnée concernant ces accusations. Selon des experts du secteur, avec l’expansion continue de la DeFi et des actifs en chaîne, les mécanismes de divulgation des vulnérabilités, l’efficacité des réponses et la transparence dans le versement des récompenses deviennent des indicateurs clés pour évaluer la sécurité et la fiabilité des projets blockchain.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Mises à niveau du backend Ostium, ajout de partenaires de liquidité institutionnels, y compris Jump
L’exchange de perpétuels Onchain Ostium a dévoilé une refonte majeure de son infrastructure backend mardi, d’après l’annonce de l’équipe. La mise à niveau introduit une nouvelle couche d’exécution décentralisée en temps réel, avec des pools de liquidité onchain et une couverture (hedging) hors chaîne, et accueille des participants institutionnels dans
CryptoFrontierIl y a 1m
Pi Network : 1 million d’utilisateurs KYC ont terminé 526 millions de missions de vérification IA
Selon l’article publié par le site officiel de Pi Network le 28 avril, Pi Network annonce que son infrastructure décentralisée de ressources humaines a été achevée par plus d’un million d’utilisateurs ayant terminé des vérifications d’identité KYC, avec plus de 526 millions de tâches de vérification réalisées ; la nature des tâches fait partie intégrante du système natif KYC de Pi, et les contributeurs sont rémunérés en jetons Pi.
MarketWhisperIl y a 1h
Ancien PDG de PayPal David Marcus lance un portefeuille Bitcoin prenant en charge des agents IA
Selon le rapport de Bitcoin Magazine, le PDG de Lightspark, David Marcus, ancien président de PayPal, a lancé le 28 avril un nouveau portefeuille de bitcoins, permettant aux agents IA d’acheter des bitcoins et d’exécuter des opérations d’envoi et de réception de fonds. Marcus a confirmé que les Grid Global Accounts de Lightspark étaient officiellement lancés.
MarketWhisperIl y a 1h
Le protocole de prêt Bitcoin Tropykus ferme, les fonctions de dépôts et d’emprunt cesseront le 27 juillet
Message de Gate News, 29 avril — Le protocole de prêt Bitcoin Tropykus a annoncé une mise à l’arrêt progressive de sa version actuelle, avec des fonctions de dépôt et d’emprunt qui seront définitivement supprimées. Les utilisateurs peuvent retirer des fonds et rembourser des prêts jusqu’au 27 juillet 2026, date à partir de laquelle les interactions ne seront prises en charge qu’en direct
GateNewsIl y a 1h
Chiliz étend 70+ jetons de fans à Solana et Base avec un modèle d’offre unifié
Message de Gate News, 29 avril — Chiliz, une plateforme de blockchain sportive, étend plus de 70 jetons de fans aux réseaux Solana et Base grâce à une norme d’offre unifiée qui garantit une offre de jetons cohérente sur toutes les chaînes prises en charge et élimine les problèmes de fragmentation des jetons enveloppés ainsi que de fragmentation de liquidité
GateNewsIl y a 1h
Over Protocol interrompt ses opérations en raison d’une pénurie de financement
Message des actualités Gate, 29 avril — La Over Foundation a annoncé avoir arrêté toute l’infrastructure et les services pour Over Protocol, y compris OverWallet, OverNode, OverFlex, les points d’accès RPC, l’explorateur de blocs et l’API, en raison d’un financement insuffisant. Il n’y a aucun projet de reprise des opérations.
Bien que Over Protocol
GateNewsIl y a 2h
