Un spécialiste en cybersécurité anonyme, sous le pseudonyme d'al_f4lc0n, a décrit un conflit de plusieurs mois avec l'équipe du projet crypto Injective. Selon ce hacker éthique, l'équipe a décuplé la récompense promise pour la découverte d'une faille critique.
Un hacker éthique affirme avoir découvert une faille dans le protocole qui aurait pu coûter 500 millions de dollars au projet en raison d'un système de validation défaillant. Selon un rapport de bug publié sur le dépôt GitHub « injective-wall-of-shame », cette faille permettait à quiconque de vider directement n'importe quel compte blockchain sans autorisation particulière.
En exploitant une faille du système de vérification des sous-comptes, des attaquants ont pu passer des ordres au marché pour le compte d'autres utilisateurs. Cette vulnérabilité leur a permis de créer des jetons sans valeur et d'initier des transactions au comptant contre le stablecoin USDT. Ces opérations sur la plateforme Injective ne nécessitent aucune autorisation, ce qui a rendu l'attaque possible, selon le pirate.
En créant un ordre de vente de jetons contrefaits, l'attaquant aurait pu contraindre des victimes potentielles à acheter ces jetons avec des USDT « au prix de leur choix », puis transférer les fonds d'Injective vers Ethereum. Le chercheur affirme que cela aurait mis en péril tous les actifs d'Injective ; la perte totale aurait dépassé 500 millions de dollars. Actuellement, ce chiffre s'élève à 280 millions de dollars, la quasi-totalité de cette somme provenant du jeton INJ.
al_f4lc0n affirme que l'équipe d'Injective lui avait promis 500 000 $ pour la découverte de failles critiques liées à la blockchain et aux contrats intelligents. Le chercheur indique que la direction du projet a voté pour une mise à jour corrective, ce qui laisse supposer que l'équipe d'Injective avait pris conscience de la gravité du problème. Cependant, al_f4lc0n déplore que l'entreprise l'ait ignoré pendant trois mois, malgré la correction du bug, avant de réduire la récompense à 50 000 $ au lieu de 50 000 $.
Une situation similaire s'est produite en 2022 : un pirate informatique éthique a reçu 540 000 $ au lieu des 2 millions de dollars promis pour avoir découvert une vulnérabilité critique dans Arbitrum, une solution de mise à l'échelle pour le réseau Ethereum.