Tin tức Gate, ngày 17 tháng 3, nhà nghiên cứu an ninh tiền điện tử al_f4lc0n công khai cáo buộc dự án blockchain Injective trong quá trình xử lý lỗ hổng an ninh lớn đã gặp phải vấn đề chậm trễ trong giao tiếp và tranh cãi về thưởng. Lỗ hổng này được cho là từng đe dọa an toàn hơn 5 tỷ USD tài sản trên chuỗi, gây ra nghi vấn về quản trị an ninh của dự án.
Theo thông tin tiết lộ, lỗ hổng bắt nguồn từ thiếu sót trong cơ chế xác thực tài khoản phụ, kẻ tấn công có thể thực hiện giao dịch thay mặt cho tài khoản người khác mà không cần quyền hạn. Cụ thể, kẻ tấn công có thể tạo token giả và xây dựng cặp giao dịch với USDT, thao túng lệnh thị trường để buộc tài khoản nạn nhân mua vào tài sản vô giá trị với giá bất thường, từ đó chuyển tiền đến địa chỉ kiểm soát của mình, rồi sau đó chuyển qua chuỗi khác sang mạng Ethereum.
al_f4lc0n đã đăng tải báo cáo kỹ thuật đầy đủ trên GitHub, cho biết lỗ hổng này khi được phát hiện đã ảnh hưởng đến toàn bộ số tiền trên chuỗi, quy mô rủi ro vượt quá 5 tỷ USD. Hiện tại, thiệt hại tiềm năng đã được xác nhận khoảng 280 triệu USD, phần lớn liên quan đến token INJ. Trong báo cáo, ông thẳng thắn nói rằng lỗ hổng này “hầu như cho phép rút tiền của bất kỳ tài khoản nào một cách trực tiếp.”
Về vấn đề thưởng, tranh cãi càng thêm gay gắt. Nhà nghiên cứu này cho biết, sau khi sửa lỗi, dự án đã không phản hồi trong suốt ba tháng, sau đó chỉ nhận được phần thưởng 50.000 USD, thấp hơn nhiều so với mức thưởng tối đa 500.000 USD mà nền tảng đã công bố trước đó, và đến nay vẫn chưa thực sự thanh toán.
Thông tin công khai cho thấy, Injective từng thiết lập cơ chế thưởng lớn qua nền tảng bug bounty để khuyến khích các nhà nghiên cứu an ninh tiết lộ các lỗ hổng quan trọng. Tuy nhiên, vụ việc lần này đã khiến quá trình phản ứng và cơ chế khuyến khích của họ bị đặt dấu hỏi.
Tính đến thời điểm bài viết, các cáo buộc vẫn chưa nhận được phản hồi chính thức từ phía dự án. Các chuyên gia trong ngành nhận định, khi quy mô tài sản trên DeFi và chuỗi ngày càng mở rộng, cơ chế tiết lộ lỗ hổng, hiệu quả phản ứng và minh bạch trong thanh toán thưởng đang trở thành các tiêu chí quan trọng để đánh giá độ an toàn và độ tin cậy của các dự án blockchain. (Protos)
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Aave Labs ra mắt Aave Checkpoint, kiểm duyệt thủ công để phòng ngừa rủi ro quản trị của DAO
Aave Labs đã phát hành Aave Checkpoint vào ngày 15 tháng 4, kết hợp phân tích tự động bằng AI và kiểm duyệt bắt buộc do con người thực hiện, yêu cầu ít nhất hai kiểm duyệt viên xác minh các đề xuất quản trị. Hệ thống này đã vận hành từ tháng 3 năm 2026, bao gồm các rủi ro DeFi như thao túng oracle. Đồng thời, Aave V4 giới thiệu mô-đun tái đầu tư, phân bổ động thanh khoản nhàn rỗi để duy trì tính thanh khoản tức thời của vốn.
MarketWhisper1giờ trước
Đề xuất gửi khóa cọc của WLFI, Trương Tâm Vũ và nhà sáng lập Moonrock Capital công khai chỉ trích
World Liberty Financial(WLFI) vào ngày 15 tháng 4 (Thứ Tư) đã đệ trình một đề xuất lên diễn đàn quản trị của mình, nhằm khóa các token WLFI do các nhà đầu tư giai đoạn đầu nắm giữ trong hai năm, sau đó sẽ được phát hành dần trong vòng hai năm; đối với những người nắm giữ không chấp nhận kế hoạch mở khóa mới, token sẽ “tiếp tục bị khóa vô thời hạn”, động thái này đã khiến các nhà đầu tư lớn như Justin Sun bị chỉ trích.
MarketWhisper1giờ trước
Ledger ra mắt bộ bảo mật AI vào năm 2026, với các cơ chế được neo phần cứng dành cho tác nhân AI
Ledger đang bước vào thị trường an ninh AI với phần cứng mới để bảo vệ người dùng khỏi các tác nhân AI giả mạo. Nhấn mạnh sự cần thiết của cơ chế bảo vệ ở cấp độ phần cứng, công ty dự kiến triển khai một bộ công nghệ nhằm đảm bảo hành vi AI phù hợp với ý định của con người vào năm 2026.
GateNews2giờ trước
Nâng cấp Pi Network V23 để ra mắt Hợp đồng thông minh, hệ sinh thái DApp và DEX vào tháng tới
Pi Network sẽ ra mắt bản nâng cấp V23 vào tháng tới, với hợp đồng thông minh, hệ sinh thái DApp và sàn giao dịch phi tập trung. Với hơn 18 triệu người dùng đã được xác minh KYC, bản nâng cấp này đưa Pi tiến gần hơn đến các ứng dụng thực tiễn và tính hữu dụng trong hệ sinh thái của mình.
GateNews2giờ trước
CoW Swap Khôi phục tên miền cow.fi sau cuộc tấn công lừa đảo xã hội vào ngày 14 tháng 4
CoW Swap đã giành lại quyền kiểm soát tên miền cow.fi của mình sau một cuộc tấn công lừa đảo kỹ thuật xã hội xảy ra vào ngày 14 tháng 4. Kẻ tấn công đã sử dụng các tài liệu giả mạo để thao túng công cụ đăng ký DNS và triển khai một trang lừa đảo (phishing). Người dùng bị ảnh hưởng bởi sự cố được khuyến nghị thu hồi các phê duyệt giao dịch và chuyển tiền.
GateNews4giờ trước
Aave Labs ra mắt Aave Checkpoint, hệ thống bảo mật quản trị được hỗ trợ bởi AI
Aave Labs đã ra mắt Aave Checkpoint, một hệ thống bảo mật quản trị dựa trên AI để rà soát các đề xuất và payloads trên chuỗi, kết hợp phân tích tự động với sự giám sát bắt buộc của con người. Đã hoạt động từ tháng 3 năm 2026, hệ thống hỗ trợ Aave V3, V4, GHO và Aptos-v3.
GateNews4giờ trước
