Je suis tombé sur quelque chose de plutôt fou dans l'écosystème Injective. Un hacker éthique nommé f4lc0n a découvert une vulnérabilité critique qui aurait pu vider plus de $500 millions de la plateforme. Ça paraît sérieux, non ? Mais voici où ça devient intéressant.

Ce hacker éthique a soumis le rapport de bug via Immunefi, et, à leur crédit, l'équipe Injective a réagi rapidement — ils ont lancé un **mainnet upgrade vote** dès le lendemain afin de corriger le problème. Mais ensuite, silence radio pendant trois mois d'affilée. Ce n'est pas une bonne image.

Le vrai coup de théâtre ? La situation de la récompense. La plateforme offrait 50 000 dollars en récompense, mais le maximum standard pour une vulnérabilité critique à ce niveau est censé être de 500 000 dollars. On parle d'une différence de 90 %. f4lc0n est compréhensiblement frustré, surtout que le paiement $50K n'a toujours pas été effectué.

Ce qui rend la situation encore plus compliquée, c’est la nature même de la vulnérabilité — n’importe quel utilisateur aurait pu effacer n’importe quel compte sur la blockchain sans permissions spéciales. Ce n’est pas un bug marginal ; c’est un problème de sécurité fondamental.

Maintenant, f4lc0n passe à l’action. Il dit qu’il consacrera 10 % de tous ses futurs gains issus des bug bounty à dénoncer publiquement cette situation jusqu’à ce qu’Injective paie la récompense qu’il estime juste. C’est une démarche intéressante — utiliser ses futurs revenus de bounty comme levier pour souligner ce qu’il considère comme un traitement injuste.

Toute cette affaire soulève des questions sur la façon dont différents protocoles gèrent la relation avec les chercheurs en sécurité et la structure des bounties. Lorsqu’un hacker éthique découvre quelque chose d’aussi critique et est payé bien en dessous de ce qu’il mérite ( et que le paiement est retardé ), cela n’incite pas vraiment les autres à signaler les vulnérabilités de manière responsable. À suivre pour voir comment tout cela va se régler.