인젝티브(INJ) 플랫폼의 화이트햇 해커가 이 플랫폼에서 발견된 치명적인 취약점을 제보한 후, 프로젝트 측의 미흡한 대응을 공개적으로 비판하며 논란을 일으켰다. 해당 해커는 내부에서 제안한 bug bounty가 최대 보상의 10분의 1에 불과하며, 수개월 간 연락이 끊긴 상황을 지적하고 나섰다.

익명의 암호화폐 보안 연구자 ‘al_f4lc0n’은 최근 깃허브(GitHub)에 ‘injective-wall-of-shame’라는 저장소를 만들어 인젝티브의 취약점 지적 과정과 보상 협상에 대한 갈등을 자세히 설명했다. 이 취약점은 잘못된 검증 시스템으로 인해 최대 5억 달러(약 7,454억5,000만원)가 위험에 노출될 수 있는 상황을 초래했다.

해킹이 가능했던 방식은 권한 없는 접근으로 사용자의 자금을 유출하는 것이었다. al_f4lc0n은 README에서 “인젝티브의 5억 달러를 구했는데 5만 달러를 준다고?”라는 제목을 달며, 이 취약점이 "어떤 사용자도 체인 상의 어떤 계정에 접근할 수 있다"고 선언했다. 기술 보고서에 따르면, 문제의 주요 원인은 '서브계정(subaccount) 검증'에서 허술함이었다. 공격자는 이 허점을 활용하여 다른 사용자의 계정을 통해 시장가 주문을 제출할 수 있었고, 결과적으로 피해자의 자산이 원치 않는 거래에 사용될 수 있었다고 설명했다.

해커는 공격자가 먼저 무가치한 토큰을 만들고 이를 주요 암호화폐인 테더(USDT)와 결합한 현물 시장을 구축하며, 인젝티브에서는 이 과정이 '퍼미션리스(permissionless)'로 가능하다는 주장을 되풀이했다. 이후 공격자가 가짜 토큰에 대한 매도 주문을 제출하면 피해자 계정은 해당 가격으로 강제로 이를 매입하게 유도될 수 있으며, 이로 인해 피해자의 USDT는 승인 없이 이더리움(ETH)으로 이전될 수 있다고 기술 보고서는 설명했다.

해커는 인젝티브 팀이 문제 인식 후 3개월 동안 소통이 없었으며, 이후 보상으로 제안된 5만 달러가 최대 보상의 10분의 1이라는 점을 강조했다. 그는 "그 5만 달러조차 지급되지 않았다"며 불만을 표출했다.

이번 사건은 단순한 취약점 문제를 넘어, 외부 제보자가 처리되는 기준과 절차에 대한 신뢰의 문제로 비화되고 있다. 디파이(DeFi)와 브리지 연동이 활발해지면서 나타나는 단일 취약점으로 인해 발생할 수 있는 연쇄 피해는 더욱 심각하다. 이러한 상황에서 버그바운티 운영의 투명성과 대응 속도는 프로젝트의 신뢰성과 보안성을 결정짓는 중요한 요소로 다시 한번 강조되고 있다.

결론적으로, 인젝티브의 경우 치명적인 취약점 제보가 이루어졌음에도 불구하고 적절한 대응이 없었고, 이는 프로젝트 신뢰성을 심각하게 훼손할 수 있는 문제로 부각되고 있다. 향후 이러한 사례가 재발하지 않도록 보안 대응 시스템의 투명성을 높이고, 유저들과의 원활한 소통을 통해 신뢰를 회복하는 노력이 필요할 것으로 보인다.