Vừa mới phát hiện ra điều khá điên rồ trong hệ sinh thái Injective. Một hacker white hat tên là f4lc0n đã phát hiện ra một lỗ hổng nghiêm trọng có thể đã rút sạch hơn $500 triệu từ giao thức. Nghe có vẻ nghiêm trọng, phải không? Nhưng điều thú vị là ở chỗ này.

Hacker white hat này đã gửi báo cáo lỗi qua Immunefi, và để công bằng, đội ngũ Injective đã phản ứng nhanh—bắt đầu bỏ phiếu nâng cấp mainnet ngay ngày hôm sau để vá lỗi. Nhưng rồi im lặng suốt ba tháng liền. Thật sự không phải là một hình ảnh tốt.

Điều làm mọi thứ trở nên phức tạp hơn chính là tình hình thưởng. Giao thức đề nghị thưởng 50.000 đô la, nhưng mức tối đa tiêu chuẩn cho một lỗ hổng nghiêm trọng ở cấp độ này thường là 500.000 đô la. Chênh lệch tới 90%. f4lc0n rõ ràng cảm thấy thất vọng, đặc biệt là vì $50K vẫn chưa nhận được khoản thưởng.

Điều làm tình hình càng thêm rối là bản chất của lỗ hổng này—bất kỳ người dùng nào cũng có thể xóa sạch bất kỳ tài khoản nào trên blockchain mà không cần quyền đặc biệt. Đó không phải là một lỗi nhỏ; đó là một vấn đề an ninh cơ bản.

Giờ đây, f4lc0n đang đứng lên. Anh ấy tuyên bố sẽ dành 10% tất cả thu nhập từ bounty trong tương lai để công khai phản đối cho đến khi Injective trả đúng phần thưởng mà anh ấy cho là phù hợp. Đây là một bước đi thú vị—dùng thu nhập từ bounty trong tương lai làm đòn bẩy để nhấn mạnh những gì anh ấy cho là sự đối xử không công bằng.

Toàn bộ tình huống này đặt ra câu hỏi về cách các giao thức khác nhau xử lý các nhà nghiên cứu bảo mật và cấu trúc bounty như thế nào. Khi một hacker white hat phát hiện ra điều gì đó nghiêm trọng như vậy và bị trả lương thấp hơn nhiều (và bị trì hoãn), điều đó không khuyến khích người khác báo cáo lỗ hổng một cách có trách nhiệm. Cần theo dõi xem mọi chuyện sẽ đi về đâu.