🎙 Уязвимость Chainlink VRF предотвращена хакерами в белой шляпе с вознаграждением в 300 тысяч долларов

Уязвимость Chainlink VRF предотвращена хакерами в белой шляпе с вознаграждением в 300 тысяч долларов

Децентрализованная сеть оракулов Chainlink (LINK) выплатила вознаграждение в размере 300 000 долларов хакерам в белой шляпе Заку Обронту и Ору Сингайзеру (Trust), которые обнаружили критическую ошибку, которая могла исказить ее проверяемую случайную функцию (VRF).

Баг

VRF — это генератор случайных чисел (RNG), который позволяет смарт-контрактам получать доступ к случайным значениям без ущерба для безопасности.

Продукт используется несколькими криптопроектами, включая Axie Infinity, PancakeSwap и Aavegotchi, для защиты своих смарт-контрактов с помощью защищенной от несанкционированного доступа случайности, которой нельзя манипулировать, и обеспечения проверяемых результатов с использованием криптографических доказательств.

В прошлом году Траст и Обронт представили отчет о том, как злонамеренный владелец подписки VRF мог помешать пользователям получить этот нейтральный бросок случайности, блокируя и перераспределяя случайность до тех пор, пока они не получили желаемое значение.

По словам команды Chainlink, эта ошибка была отнесена к категории критических уязвимостей смарт-контракта, добавив, что:

«Хотя это может поставить под угрозу предполагаемое использование Chainlink VRF для обеспечения прозрачно проверяемой и устойчивой к несанкционированному вмешательству случайности в цепочке, сценарий использования требует соблюдения ряда конкретных условий и может быть обнаружен в цепочке. В частности, владелец подписки — роль, которую обычно контролирует команда разработчиков децентрализованного приложения с использованием VRF — должен быть злонамеренным или скомпрометированным».

«Хотя это может поставить под угрозу предполагаемое использование Chainlink VRF для обеспечения прозрачно проверяемой и устойчивой к несанкционированному вмешательству случайности в цепочке, сценарий использования требует соблюдения ряда конкретных условий и может быть обнаружен в цепочке. В частности, владелец подписки — роль, которую обычно контролирует команда разработчиков децентрализованного приложения с использованием VRF — должен быть злонамеренным или скомпрометированным».

После инцидента Chainlink внедрила функцию безопасности, чтобы предотвратить использование этой проблемы злонамеренными владельцами VRF.

Chainlink пользуется институциональным интересом

Технология Cross-Chain Interoperability Protocol (CCIP) Chainlink получила все большее признание благодаря принятию со стороны крупных традиционных институтов.

Глобальная сеть обмена финансовыми сообщениями Swift использовала эту технологию в эксперименте по токенизации, который включал передачу токенов через несколько блокчейнов в августе. В октябре южнокорейский игровой гигант также использовал его для поддержки совместимой игровой экосистемы Web3.

Кроме того, власти Гонконга приняли его для обмена ценностями в ходе испытаний цифровой валюты Центрального банка (CBDC).

В результате стоимость собственного токена LINK Chainlink и Chainlink Trust (GLNK) компании Grayscale, институционального инвестиционного инструмента, выросла до новых максимумов.