Injective遭遇严重安全漏洞威胁数亿美元资产

区块链项目Injective被曝存在关键安全缺陷,该漏洞源于子账户验证机制缺失,使攻击者可在无权限情况下代表他人执行交易。通过创建虚假代币并构建与USDT的交易对,攻击者可操纵市价单,迫使用户以异常高价买入无价值资产,进而实现资金转移至其控制地址,并跨链至以太坊网络,形成完整攻击路径。

漏洞影响范围广泛 潜在损失达2.8亿美元

据安全研究员al_f4lc0n在GitHub发布的技术报告,该漏洞在披露时已覆盖全部链上资金,风险规模估算超过5亿美元。目前已确认潜在损失约为2.8亿美元,其中多数涉及INJ代币。报告指出,该漏洞“几乎允许直接提取任意账户资金”,凸显其破坏力之强。

赏金争议加剧信任危机 三个月未获回应

围绕漏洞奖励问题,争议持续发酵。研究员称,在漏洞修复后长达三个月未收到项目方任何反馈,最终仅获5万美元奖励,远低于此前公布的最高50万美元标准,且至今未实际支付。尽管Injective曾设立高激励漏洞赏金计划,但此次事件暴露出其响应流程不透明、兑现机制缺失的问题。

行业反思:漏洞披露机制成项目可信度试金石

截至目前,Injective尚未就相关指控作出正式回应。业内人士表示,随着去中心化金融(DeFi)和链上资产规模不断增长,漏洞披露效率、响应速度及赏金兑现透明度,正成为评估区块链项目安全治理能力的核心指标。