Chainlink устранил критическую уязвимость

Chainlink устранил критическую уязвимость, двое хакеров в белой шляпе помогли обнаружить критическую ошибку. 

Децентрализованная сеть оракулов Chainlink выплатила вознаграждение в размере 300 000 долларов хакерам в белой шляпе Заку Обронту и Ору Сингайзеру (Trust), которые обнаружили критическую ошибку, которая могла исказить ее проверяемую случайную функцию (VRF).

Уязвимость VRF в Chainlink

VRF — это генератор случайных чисел (RNG), который позволяет смарт-контрактам получать доступ к случайным значениям без ущерба для безопасности. Продукт используется несколькими криптопроектами, включая Axie Infinity, PancakeSwap и Aavegotchi, для защиты своих смарт-контрактов с помощью защищенной от несанкционированного доступа случайности, которой нельзя манипулировать, и обеспечения проверяемых результатов с использованием криптографических доказательств.

В прошлом году (Trust) и Обронт представили отчет о том, как злонамеренный владелец подписки VRF мог помешать пользователям получить этот нейтральный доступ, блокируя и перераспределяя случайность до тех пор, пока они не получили желаемое значение.

По словам команды Chainlink, эта ошибка была отнесена к категории критических уязвимостей смарт-контракта. 

Разработчики Chainlink

«Хотя это может поставить под угрозу предполагаемое использование Chainlink VRF для обеспечения прозрачно проверяемой и устойчивой к несанкционированному вмешательству случайности в цепочке, сценарий использования требует соблюдения ряда конкретных условий и может быть обнаружен в цепочке. В частности, владелец подписки — роль, которую обычно контролирует команда разработчиков децентрализованного приложения с использованием VRF, должен быть злонамеренным или скомпрометированным».

После инцидента Chainlink внедрила функцию безопасности, чтобы предотвратить использование этой проблемы злонамеренными владельцами VRF.

Почему Chainlink так вырос?