インジェクティブエコシステムでかなり衝撃的な出来事に出くわしました。ホワイトハットハッカーのf4lc0nが、プロトコルから$500 百万以上を流出させる可能性のあった重大な脆弱性を発見しました。深刻そうですよね？でも、そこからが面白いところです。

このホワイトハットハッカーはImmunefiを通じてバグレポートを提出し、彼らの評価もあって、インジェクティブチームは迅速に対応し、その翌日にメインネットのアップグレード投票を開始して修正しました。しかし、その後3ヶ月間何の音沙汰もありません。これは…あまり良い印象ではありません。

本当に驚きなのは、報奨金の状況です。プロトコルは$50,000を報酬として提供しましたが、そのレベルの重大な脆弱性に対する標準的な最大金額は$500,000とされているはずです。これは90%の差です。f4lc0nは当然ながら不満を抱いており、$50K の報酬も未払いのままです。

さらにこの問題を複雑にしているのは、脆弱性の性質そのものです—誰でも特別な権限なしにブロックチェーン上の任意のアカウントを消去できてしまうというものです。これは単なるエッジケースのバグではなく、根本的なセキュリティの問題です。

今、f4lc0nは立ち上がっています。彼は、インジェクティブが適切と感じる報酬を支払うまで、今後のバグバウンティ収益の10%を使ってこの問題を公に訴え続けると宣言しています。これは興味深い動きです—将来のバウンティ収入をレバレッジとして、不公平な扱いだと彼が考えることを強調するための戦略です。

この一連の状況は、さまざまなプロトコルがセキュリティリサーチャーやバウンティ構造をどのように扱っているかについて疑問を投げかけます。ホワイトハットハッカーがこれほど重大な問題を見つけて、しかも大きく報酬が少なく、遅延している場合、他の人が責任を持って脆弱性を報告する意欲はあまり高まらないでしょう。今後の展開に注目していきたいですね。