Анонимный специалист по кибербезопасности под ником al_f4lc0n рассказал о многомесячном конфликте с командой криптопроекта Injective. Команда, по словам белого хакера, в десять раз снизила обещанное вознаграждение за найденную критическую ошибку.
Белый хакер утверждает, что обнаружил в протоколе уязвимость, из-за которой проект мог потерять $500 млн из-за неисправной системы валидации. Согласно отчету об ошибке, опубликованному в репозитории GitHub под названием injective-wall-of-shame, обнаруженная уязвимость позволяла любому желающему напрямую опустошать любой счет в блокчейне без каких-либо специальных разрешений.
Воспользовавшись ошибкой в системе проверки субаккаунтов, злоумышленники могли бы размещать рыночные ордеры от имени других пользователей. Уязвимость позволяла создавать бесполезные токены и открывать спотовую торговлю в паре со стейблкоином USDT — эти операции на платформе Injective не требуют разрешения, что дает возможность провести атаку, утверждает хакер.
Создав ордер на продажу поддельных токенов, злоумышленник мог принудить потенциальных жертв покупать эти токены за USDT «по выбранной им цене», а затем переводить средства из Injective в Эфириум. Исследователь настаивает: это поставило под угрозу все средства Injective — общая сумма ущерба превысила бы $500 млн. Сейчас это $280 млн, причем почти вся сумма приходится на токен INJ.
al_f4lc0n заявил, что команда Injective пообещала $500000 за обнаружение критических угроз, связанных с блокчейном и смарт-контрактами. Исследователь утверждает, что для исправления ошибки руководство проекта вынесло на голосование вопрос о проведении обновления. Это означает: команда Injective понимала серьезность проблемы. Однако al_f4lc0n недоволен, что компания игнорировала его в течение трех месяцев, несмотря на исправление ошибки, а затем в десять раз снизила сумму вознаграждения — до $50 000.
В 2022 году произошла похожая ситуация: белый хакер получил $540000 вместо обещанных $2 млн за обнаружение критической уязвимости в Arbitrum, решении по масштабированию сети Эфириума.
Японский SBI Shinsei Bank собрался поощрять вкладчиков ваучерами для обмена на криптовалюту. Размер вознаграждения будет…
Затянувшаяся слабость крипторынка связана с бурным развитием искусственного интеллекта, который перетягивает на себя капитал инвесторов,…
Децентрализованный проект идентификации Humanity Protocol, использующий сканирование ладони для подтверждения личности, подвергся атаке, в результате…
Анонимный блокчейн-исследователь ZachXBT недоволен, что британские санкции против криптобиржи HTX и ее юридического лица Huobi…
Эмитент стейблкоинов USDC, компания Circle, запустила в сети Эфириума токен cirBTC, обеспеченный биткоином в соотношении…
Верховный представитель Евросоюза по иностранным делам Кая Каллас (Kaja Kallas) сообщила, что в следующем, 21-м…