3月16日,白帽黑客f4lc0n披露,其在Injective协议中发现一个“严重”级别漏洞。该漏洞允许任何用户无需特殊权限即可清空链上任意账户,可能导致超过5亿美元资产被提取。
- 漏洞处理:通过Immunefi平台提交报告后,Injective团队次日发起主网升级投票并修复了漏洞。
- 赏金争议:项目方仅开出5万美元奖金,远低于该级别漏洞50万美元的最高赏金上限。f4lc0n表示,在随后的三个月内与项目方沟通不畅,且5万美元奖金至今未支付。
- 后续行动:f4lc0n已对奖金数额提出争议,并宣布将拿出未来漏洞赏金收入的10%,用于持续公开此事,直至Injective按标准支付报酬。
