Acabei de descobrir algo bastante impressionante no ecossistema Injective. Um hacker de chapéu branco chamado f4lc0n descobriu uma vulnerabilidade crítica que poderia ter drenado mais de $500 milhões da protocolo. Parece sério, certo? Mas aqui é onde fica interessante.

Este hacker de chapéu branco enviou o relatório de bug através do Immunefi e, para seu crédito, a equipa Injective agiu rapidamente — iniciou uma votação de atualização da mainnet no dia seguinte para corrigir o problema. Mas depois, silêncio total durante três meses seguidos. Isso... não é uma boa imagem.

A verdadeira questão? A situação da recompensa. O protocolo ofereceu $50.000 como recompensa, mas o máximo padrão para uma vulnerabilidade crítica nesse nível deveria ser $500.000. Estamos a falar de uma diferença de 90%. f4lc0n está compreensivelmente frustrado, especialmente porque o $50K ainda não foi pago.

O que torna tudo ainda mais complicado é a natureza da própria vulnerabilidade — qualquer utilizador poderia apagar qualquer conta na blockchain sem precisar de permissões especiais. Isso não é um bug de caso extremo; é uma questão de segurança fundamental.

Agora, f4lc0n está a tomar uma posição. Ele diz que vai dedicar 10% de todos os futuros ganhos de recompensas por bugs para denunciar publicamente até que a Injective pague o que ele considera ser a recompensa adequada. É um movimento interessante — usar a renda futura de recompensas como alavanca para destacar o que ele vê como tratamento injusto.

Toda esta situação levanta questões sobre como diferentes protocolos lidam com investigadores de segurança e estruturas de recompensas. Quando um hacker de chapéu branco encontra algo tão crítico e é pago significativamente abaixo do valor justo (e com atraso), isso não incentiva exatamente outros a reportar vulnerabilidades de forma responsável. Vale a pena acompanhar como isto se resolve.