Controversia por vulnerabilidad de $500 millones: Hacker ético denuncia a Injective por demoras en respuesta y reducción de recompensa

Gate News Noticias, el 17 de marzo, el investigador de seguridad en criptomonedas al_f4lc0n acusó públicamente al proyecto blockchain Injective de retrasos en la comunicación y disputas sobre recompensas durante la gestión de una vulnerabilidad de seguridad importante. Se afirma que esta vulnerabilidad amenazó en su momento la seguridad de más de 500 millones de dólares en activos en la cadena, lo que generó dudas en la comunidad sobre la gobernanza de seguridad del proyecto.

Según la información divulgada, la vulnerabilidad se originó en una falla en el mecanismo de verificación de subcuentas, permitiendo a los atacantes realizar transacciones en nombre de otras cuentas sin permisos. Específicamente, los atacantes podían crear tokens falsos y construir pares de comercio con USDT, manipulando órdenes de mercado para forzar a las cuentas víctimas a comprar activos sin valor a precios anómalos, transfiriendo así fondos a sus propias direcciones controladas y luego cruzando a la red de Ethereum.

al_f4lc0n publicó un informe técnico completo en GitHub, indicando que la vulnerabilidad comprometió todos los fondos en la cadena en el momento de su divulgación, con un riesgo superior a 500 millones de dólares. Se estima que las pérdidas potenciales confirmadas alcanzaron aproximadamente 280 millones de dólares, en su mayoría relacionados con el token INJ. En el informe, el investigador afirmó que la vulnerabilidad “casi permitía extraer fondos de cualquier cuenta de forma directa”.

En cuanto a las recompensas, la controversia se intensificó. El investigador afirmó que, tras la reparación de la vulnerabilidad, no recibió respuesta del equipo del proyecto durante tres meses, y la recompensa que finalmente le fue otorgada fue solo de 50,000 dólares, muy por debajo del máximo de 500,000 dólares anunciado previamente por la plataforma, y hasta la fecha aún no ha sido pagada.

Según información pública, Injective estableció un programa de recompensas por vulnerabilidades con altas sumas para incentivar a los investigadores de seguridad a divulgar fallos críticos. Sin embargo, este incidente ha puesto en duda sus procesos de respuesta y mecanismos de incentivos.

Hasta el momento de la publicación, las acusaciones no han recibido respuesta oficial del equipo del proyecto. Expertos del sector señalan que, a medida que crecen el tamaño de DeFi y los activos en la cadena, los mecanismos de divulgación de vulnerabilidades, la eficiencia en la respuesta y la transparencia en el pago de recompensas se convierten en indicadores clave para evaluar la seguridad y confiabilidad de los proyectos blockchain. (Protos)