Белый хакер утверждает, что обнаружил в протоколе уязвимость, из-за которой проект мог потерять $500 млн из-за неисправной системы валидации. Согласно отчету об ошибке, опубликованному в репозитории GitHub под названием injective-wall-of-shame, обнаруженная уязвимость позволяла любому желающему напрямую опустошать любой счет в блокчейне без каких-либо специальных разрешений.
Воспользовавшись ошибкой в системе проверки субаккаунтов, злоумышленники могли бы размещать рыночные ордеры от имени других пользователей. Уязвимость позволяла создавать бесполезные токены и открывать спотовую торговлю в паре со стейблкоином USDT — эти операции на платформе Injective не требуют разрешения, что дает возможность провести атаку, утверждает хакер.
Создав ордер на продажу поддельных токенов, злоумышленник мог принудить потенциальных жертв покупать эти токены за USDT «по выбранной им цене», а затем переводить средства из Injective в Эфириум. Исследователь настаивает: это поставило под угрозу все средства Injective — общая сумма ущерба превысила бы $500 млн. Сейчас это $280 млн, причем почти вся сумма приходится на токен INJ.
al_f4lc0n заявил, что команда Injective пообещала $500 000 за обнаружение критических угроз, связанных с блокчейном и смарт-контрактами. Исследователь утверждает, что для исправления ошибки руководство проекта вынесло на голосование вопрос о проведении обновления. Это означает: команда Injective понимала серьезность проблемы. Однако al_f4lc0n недоволен, что компания игнорировала его в течение трех месяцев, несмотря на исправление ошибки, а затем в десять раз снизила сумму вознаграждения — до $50 000.
В 2022 году произошла похожая ситуация: белый хакер получил $540 000 вместо обещанных $2 млн за обнаружение критической уязвимости в Arbitrum, решении по масштабированию сети Эфириума.