Только что наткнулся на что-то довольно дикое в экосистеме Injective. Белый хакер по имени f4lc0n обнаружил критическую уязвимость, которая могла бы вывести более $500 миллионов с протокола. Звучит серьезно, правда? Но вот где становится интересно.

Этот белый хакер отправил отчет об ошибке через Immunefi, и, по их словам, команда Injective среагировала быстро — уже на следующий день инициировала голосование за обновление мейннета, чтобы исправить проблему. Но затем три месяца тишины. Это… не очень хороший знак.

Настоящий удар? Ситуация с вознаграждением. Протокол предложил $50,000 в качестве награды, но стандартный максимум для критической уязвимости такого уровня должен составлять $500,000. Речь идет о разнице в 90%. f4lc0n вполне оправданно разочарован, особенно учитывая, что $50K все еще не получил выплату.

Что делает ситуацию еще более запутанной, так это сама природа уязвимости — любой пользователь мог бы стереть любой аккаунт в блокчейне без необходимости специальных разрешений. Это не какой-то крайний случай; это фундаментальная проблема безопасности.

Теперь f4lc0n решил занять позицию. Он говорит, что будет посвящать 10% всех будущих доходов от bounty публичному освещению этой ситуации, пока Injective не выплатит то, что он считает справедливым вознаграждением. Это интересный ход — использовать будущие доходы от bounty как рычаг для привлечения внимания к тому, что он считает несправедливым отношением.

Вся эта ситуация поднимает вопросы о том, как разные протоколы обращаются с исследователями безопасности и структурой вознаграждений. Когда белый хакер находит что-то настолько критическое и получает значительно меньшую сумму (и задержку), это не очень стимулирует других сообщать о уязвимостях ответственно. Стоит понаблюдать, как это все решится.