白帽黑客:幫助Injective披露嚴重漏洞,項目方未如約支付5萬美元獎金
漏洞披露與獎金爭議
BlockBeats 消息,3 月 16 日,白帽黑客 f4lc0n 披露,其在 Injective 協議中發現了一個可導致鏈上超過 5 億美元資產被直接提取的「嚴重」級別漏洞。該漏洞允許任何用戶在無需特殊權限的情況下清空鏈上任意賬戶。
項目方回應與修復進度
f4lc0n 在通過 Immunefi 提交報告後,Injective 團隊次日即發起主網升級投票以修復該漏洞。然而,在隨後的三個月內,項目方處於「失聯」狀態,未進一步回應或推進修復工作。
獎金數額與支付問題
項目方僅向 f4lc0n 開出 5 萬美元獎金,遠低於其計劃中該級別漏洞的最高上限 50 萬美元。f4lc0n 明確表示,該獎金尚未實際支付,並已對金額提出爭議。
後續行動與公開承諾
f4lc0n 宣佈將拿出未來漏洞賞金收入的 10% 用於持續公開此事,直至 Injective 按標準支付報酬,以監督項目方履行承諾。