Injective协议曝出高危漏洞引发安全争议

白帽黑客f4lc0n于3月16日在X平台披露,其在Injective协议中发现一处可导致链上超过5亿美元资产被直接提取的“严重”级别漏洞。该漏洞允许任何用户在无权限情况下清空任意链上账户,构成对系统完整性的根本性威胁。

项目方回应迟缓且奖金远低于预期

f4lc0n在通过Immunefi提交报告后,Injective团队次日即发起主网升级投票以修复问题。然而,在随后三个月内,项目方未再就漏洞处理进展或奖金发放作出公开说明,被指处于“失联”状态。其原计划中该级别漏洞最高可获50万美元奖励,但实际仅获5万美元,引发争议。

黑客宣布将持续公开事件直至获得应有报酬

目前,f4lc0n已正式对奖金数额提出异议,并强调5万美元尚未支付。为推动问题解决,他宣布将把未来所有漏洞赏金收入的10%用于持续公开此事件,直至Injective按行业标准完成报酬支付。这一举措凸显了当前去中心化项目在安全激励机制上的潜在短板。