Gate News rapporte que le 17 mars, le chercheur en sécurité cryptographique al_f4lc0n a publiquement accusé le projet blockchain Injective de retard dans la communication et de controverses concernant la rémunération des bugs lors de la gestion d’une vulnérabilité majeure. Cette faille aurait une fois mis en danger plus de 500 millions de dollars d’actifs en chaîne, suscitant des doutes de la communauté sur la gouvernance de la sécurité du projet.
Selon les informations divulguées, cette vulnérabilité provient d’un défaut dans le mécanisme de vérification des sous-comptes, permettant à un attaquant d’effectuer des transactions au nom d’un autre compte sans permission. Plus précisément, l’attaquant peut créer de faux tokens et établir une paire de trading avec l’USDT, en manipulant des ordres au marché pour forcer le compte victime à acheter des actifs sans valeur à un prix anormal, puis transférer les fonds vers une adresse sous son contrôle, avant de les transférer cross-chain vers le réseau Ethereum.
al_f4lc0n a publié un rapport technique complet sur GitHub, indiquant que cette vulnérabilité, lors de sa divulgation, couvrait la totalité des fonds en chaîne, avec un risque estimé à plus de 500 millions de dollars. La perte potentielle confirmée s’élève à environ 280 millions de dollars, la majorité impliquant le token INJ. Dans son rapport, il affirme que cette faille « permettait presque une extraction directe des fonds de n’importe quel compte ».
Concernant la question des récompenses, la controverse s’est intensifiée. Le chercheur a indiqué qu’après la correction de la vulnérabilité, il n’a pas reçu de réponse de la part du projet pendant trois mois, puis la récompense qu’il a finalement reçue n’était que de 50 000 dollars, bien en deçà du plafond de 500 000 dollars annoncé précédemment par la plateforme, et à ce jour, elle n’a toujours pas été versée.
Les informations publiques montrent qu’Injective avait mis en place un programme de récompenses élevé via une plateforme de bug bounty pour encourager les chercheurs en sécurité à divulguer des vulnérabilités critiques. Cependant, cet incident a mis en question la rapidité de réponse et la transparence du mécanisme de récompense.
Au moment de la rédaction, aucune réponse officielle du projet n’a été donnée concernant ces accusations. Selon des experts du secteur, avec l’expansion continue de la DeFi et des actifs en chaîne, les mécanismes de divulgation des vulnérabilités, l’efficacité des réponses et la transparence dans le versement des récompenses deviennent des indicateurs clés pour évaluer la sécurité et la fiabilité des projets blockchain.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Aave propose 25 000 ETH à DeFi United pour l’aide du DAO Kelp
Les prestataires de services d’Aave ont soumis vendredi une proposition de gouvernance qui contribuerait pour une valeur de 25,000 ETH, soit près de $58 million, depuis le DAO du protocole à DeFi United, un effort coordonné de soutien visant à rétablir la garantie du rsETH après l’exploit du Kelp DAO, selon The Block.
La proposition de contributi
CryptoFrontierIl y a 2h
Pavel Durov Dit Que Les Frais De TON Chuteront De 6x En Ciblant Des Coûts Presque Nuls
TON réduit les frais de transaction par six, les ramenant à des niveaux quasi nuls, en passant à une tarification fixe indépendante de la congestion du réseau.
La mise à niveau améliore la vitesse et la finalité, permettant des transactions plus rapides et moins coûteuses que sur Ethereum, Bitcoin et Solana.
Des coûts réduits soutiennent les microtransactions et les applications,
CryptoFrontNewsIl y a 3h
Le protocole de prêt DeFi sur la chaîne Sui, Scallop, a été piraté ; une faille dans l’ancien contrat a permis le vol de 150 000 SUI
Scallop sur la chaîne Sui fait l’objet d’une attaque, un contrat latéral impliquant le pool de récompenses sSUI a été exploité, environ 150 000 SUI ont été volés. Le contrat central est sécurisé, les dépôts et retraits ont été rétablis. La déclaration officielle précise que cela ne concerne que le contrat de récompenses déjà mis au rebut ; les fonds des utilisateurs ne sont pas affectés. L’ancien développeur NEAR Vadim indique que la faille provient d’un ancien paquet V2 datant de 17 mois, qui n’avait pas initialisé last_index, entraînant l’accumulation des récompenses depuis 2023. La correction doit ajouter un champ de version à l’objet partagé et renforcer la vérification de version afin d’éviter que des paquets obsolètes ne créent des risques.
ChainNewsAbmediaIl y a 4h
JPMorgan : La tokenisation transformera l'industrie des fonds, mais de « bons cas d’usage » arriveront dans des années
Le responsable mondial des produits ETF et des services aux titres de JPMorgan, Ciarán Fitzpatrick, a déclaré que la tokenisation entraînera des changements dans l’ensemble de l’industrie des fonds, selon un billet publié vendredi. Fitzpatrick a indiqué que, bien que l’expérimentation consistant à tokeniser des ETF se poursuive, la banque estime que cela sera « a
CryptoFrontierIl y a 5h
Aave, Kelp et LayerZero proposent de libérer $71M en ETH gelé pour soutenir la reprise de rsETH
Message de Gate News, 26 avril — Une coalition de grands protocoles DeFi menée par Aave Labs, rejointe par Kelp DAO, LayerZero, EtherFi et Compound, a déposé, samedi matin, une Constitutional AIP en demandant au DAO Arbitrum de libérer environ $71 million d’ETH gelé afin de soutenir DeFi United, un effort de secours inter-protocoles
GateNewsIl y a 7h
Scallop découvre une vulnérabilité dans le pool de récompenses sSUI, subit une perte de 150 K SUI, mais s’engage à un remboursement intégral
Message de Gate News, 26 avril — Scallop, un protocole de prêt au sein de l’écosystème Sui, a annoncé la découverte d’une vulnérabilité dans un contrat auxiliaire associé à son pool de récompenses sSUI, entraînant une perte d’environ 150 000 SUI. Le contrat concerné a été gelé, et Scallop a confirmé
GateNewsIl y a 8h
