Chainlink устранил критическую уязвимость, двое хакеров в белой шляпе помогли обнаружить критическую ошибку.
Децентрализованная сеть оракулов Chainlink выплатила вознаграждение в размере 300 000 долларов хакерам в белой шляпе Заку Обронту и Ору Сингайзеру (Trust), которые обнаружили критическую ошибку, которая могла исказить ее проверяемую случайную функцию (VRF).
Содержание:
Уязвимость VRF в Chainlink
VRF — это генератор случайных чисел (RNG), который позволяет смарт-контрактам получать доступ к случайным значениям без ущерба для безопасности. Продукт используется несколькими криптопроектами, включая Axie Infinity, PancakeSwap и Aavegotchi, для защиты своих смарт-контрактов с помощью защищенной от несанкционированного доступа случайности, которой нельзя манипулировать, и обеспечения проверяемых результатов с использованием криптографических доказательств.
В прошлом году (Trust) и Обронт представили отчет о том, как злонамеренный владелец подписки VRF мог помешать пользователям получить этот нейтральный доступ, блокируя и перераспределяя случайность до тех пор, пока они не получили желаемое значение.
По словам команды Chainlink, эта ошибка была отнесена к категории критических уязвимостей смарт-контракта.
Разработчики Chainlink
«Хотя это может поставить под угрозу предполагаемое использование Chainlink VRF для обеспечения прозрачно проверяемой и устойчивой к несанкционированному вмешательству случайности в цепочке, сценарий использования требует соблюдения ряда конкретных условий и может быть обнаружен в цепочке. В частности, владелец подписки — роль, которую обычно контролирует команда разработчиков децентрализованного приложения с использованием VRF, должен быть злонамеренным или скомпрометированным».
После инцидента Chainlink внедрила функцию безопасности, чтобы предотвратить использование этой проблемы злонамеренными владельцами VRF.
Почему Chainlink так вырос?
- Zoom
- Type
Технология Cross-Chain Interoperability Protocol (CCIP) компании Chainlink получила все большее распространение благодаря принятию ее крупными традиционными учреждениями. Глобальная сеть обмена финансовыми сообщениями Swift использовала эту технологию в эксперименте по токенизации, который включал передачу токенов через несколько блокчейнов в августе. В октябре южнокорейский игровой гигант также использовал его для поддержки совместимой игровой экосистемы Web3.
Кроме того, власти Гонконга приняли его для обмена ценностями в ходе испытаний цифровой валюты Центрального банка (CBDC). В результате стоимость собственного токена LINK Chainlink и Chainlink Trust (GLNK) компании Grayscale, институционального инвестиционного инструмента, выросла до новых максимумов.