Gate News rapporte que le 17 mars, le chercheur en sécurité cryptographique al_f4lc0n a publiquement accusé le projet blockchain Injective de retard dans la communication et de controverses concernant la rémunération des bugs lors de la gestion d’une vulnérabilité majeure. Cette faille aurait une fois mis en danger plus de 500 millions de dollars d’actifs en chaîne, suscitant des doutes de la communauté sur la gouvernance de la sécurité du projet.
Selon les informations divulguées, cette vulnérabilité provient d’un défaut dans le mécanisme de vérification des sous-comptes, permettant à un attaquant d’effectuer des transactions au nom d’un autre compte sans permission. Plus précisément, l’attaquant peut créer de faux tokens et établir une paire de trading avec l’USDT, en manipulant des ordres au marché pour forcer le compte victime à acheter des actifs sans valeur à un prix anormal, puis transférer les fonds vers une adresse sous son contrôle, avant de les transférer cross-chain vers le réseau Ethereum.
al_f4lc0n a publié un rapport technique complet sur GitHub, indiquant que cette vulnérabilité, lors de sa divulgation, couvrait la totalité des fonds en chaîne, avec un risque estimé à plus de 500 millions de dollars. La perte potentielle confirmée s’élève à environ 280 millions de dollars, la majorité impliquant le token INJ. Dans son rapport, il affirme que cette faille « permettait presque une extraction directe des fonds de n’importe quel compte ».
Concernant la question des récompenses, la controverse s’est intensifiée. Le chercheur a indiqué qu’après la correction de la vulnérabilité, il n’a pas reçu de réponse de la part du projet pendant trois mois, puis la récompense qu’il a finalement reçue n’était que de 50 000 dollars, bien en deçà du plafond de 500 000 dollars annoncé précédemment par la plateforme, et à ce jour, elle n’a toujours pas été versée.
Les informations publiques montrent qu’Injective avait mis en place un programme de récompenses élevé via une plateforme de bug bounty pour encourager les chercheurs en sécurité à divulguer des vulnérabilités critiques. Cependant, cet incident a mis en question la rapidité de réponse et la transparence du mécanisme de récompense.
Au moment de la rédaction, aucune réponse officielle du projet n’a été donnée concernant ces accusations. Selon des experts du secteur, avec l’expansion continue de la DeFi et des actifs en chaîne, les mécanismes de divulgation des vulnérabilités, l’efficacité des réponses et la transparence dans le versement des récompenses deviennent des indicateurs clés pour évaluer la sécurité et la fiabilité des projets blockchain.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Polygon lance sPOL pour débloquer 3,6 Md$ de POL mis en jeu et augmenter les récompenses des validateurs
Polygon a lancé sPOL, un jeton de liquid staking, permettant une liquidité accrue pour les jetons POL mis en jeu. Audité pour la sécurité, sPOL permet aux détenteurs de mise de gagner des récompenses tout en utilisant des actifs dans DeFi, avec une liquidité initiale provenant du trésor et des pools en direct sur Uniswap V4.
GateNewsIl y a 1h
Le fondateur de Cardano affirme que les fêtes crypto ne feront pas monter le prix de l’ADA – Voici pourquoi
Charles Hoskinson vient de lancer une vérification de la réalité à la communauté Cardano. Son message est simple. Les fêtes crypto et les grands événements de conférence ne feront pas bouger le prix de l’ADA. Au lieu de cela, il veut prendre les fonds qui auraient été dépensés pour des rassemblements spectaculaires et les investir dans une coexistence mondiale permanente
CaptainAltcoinIl y a 2h
ETHGas et ether.fi annoncent $3B un accord pour construire des marchés d’espace de blocs institutionnels sur Ethereum
ETHGas et ether.fi ont conclu un accord de $3 milliard pour renforcer les marchés de l’espace de bloc Ethereum. ether.fi allouera 40% de ses avoirs en ETH au service de staking haute performance d’ETHGas, permettant un futur négoce de droits d’inclusion de blocs et de nouvelles opportunités de rendement.
GateNewsIl y a 3h
Bitcoin : la proposition BIP-361 visant à geler les adresses vulnérables aux attaques quantiques suscite un débat au sein de la communauté
Des experts, menés par Jameson Lopp, ont proposé le BIP-361 pour geler des adresses Bitcoin vulnérables aux attaques quantiques afin de protéger 1,7 million de BTC contre les menaces quantiques futures. Le plan inclut des phases visant à renforcer la sécurité, mais fait l’objet de critiques pour avoir une position contradictoire avec la décentralisation de Bitcoin.
GateNewsIl y a 3h
La Fondation Ethereum lance $1M Audit Fund pour renforcer la sécurité de la blockchain
La Fondation Ethereum a lancé le Programme de Subvention de Sécurité Ethereum, en s’engageant à hauteur de $1 million pour subventionner les coûts d’audit des contrats intelligents pour les développeurs du mainnet. Plus de 20 cabinets d’audit sont impliqués, dans le but d’améliorer la sécurité au sein de l’écosystème des développeurs.
GateNewsIl y a 4h
Lattice annonce une fermeture : Redstone fermera le 16 mai, les utilisateurs disposeront d’un délai pour effectuer des retraits
Le développeur d’infrastructure pour les jeux de type chaîne Lattice annonce qu’il fermera ses activités le 15 mai et invite les utilisateurs à retirer leurs fonds. Après l’arrêt des activités, les fonds du contrat ne peuvent pas être retirés via les contrats L1 ; seuls les fonds des portefeuilles personnels peuvent être récupérés. Lattice n’a pas réussi à concrétiser son modèle économique au cours des cinq dernières années et a finalement décidé de fermer, mais son framework MUD et le jeu DUST continueront de fonctionner.
MarketWhisperIl y a 5h
