Щойно натрапив на щось досить дивовижне в екосистемі Injective. Білий хакер на ім’я f4lc0n виявив критичну вразливість, яка могла б зняти понад $500 мільйонів з протоколу. Звучить серйозно, правда? Ось де стає цікаво.

Цей білий хакер подав звіт про помилку через Immunefi, і, заслуговуючи на похвалу, команда Injective швидко відреагувала — наступного дня ініціювали голосування за оновлення мейннету для виправлення. Але потім три місяці мовчання. Це… не дуже хороший вигляд.

Що ще більш дивно? Ситуація з винагородою. Протокол запропонував $50,000 як нагороду, але стандартний максимум для критичної вразливості такого рівня має становити $500,000. Мова йде про різницю у 90%. f4lc0n цілком обґрунтовано розчарований, особливо враховуючи, що $50K ще не отримав виплату.

Що робить ситуацію ще гіршою, так це сама природа вразливості — будь-який користувач міг стерти будь-який акаунт у блокчейні без необхідності мати особливі дозволи. Це не якась крайня випадкова помилка; це фундаментальна проблема безпеки.

Зараз f4lc0n бере на себе ініціативу. Він заявляє, що присвятить 10% усіх майбутніх доходів від бонтів за вразливості публічному висвітленню цієї проблеми, доки Injective не виплатить йому ту нагороду, яку він вважає справедливою. Це цікава тактика — використовувати майбутні доходи від бонтів як важіль для привернення уваги до того, що він вважає несправедливим ставленням.

Ця ситуація піднімає питання про те, як різні протоколи ставляться до дослідників безпеки та структур винагород. Коли білий хакер знаходить щось таке критичне і отримує значно менше, ніж заслуговує, і з затримкою, це не дуже сприяє тому, щоб інші відповідально повідомляли про вразливості. Варто стежити за тим, як ця ситуація вирішиться.