آسیب پذیری VRF زنجیره ای توسط هکرهای کلاه سفید با پاداش 300 هزار دلاری خنثی شد

Chainlink VRF vulnerability thwarted by white hat hackers with $300K reward

شبکه غیرمتمرکز اوراکل Chainlink (LINK) جایزه ای 300000 دلاری به هکرهای کلاه سفید Zach Obront و Or Cyngiser (Trust) پرداخت که یک باگ مهم را کشف کردند که می توانست عملکرد تصادفی قابل تأیید (VRF) آن را منحرف کند.

حشره

VRF یک تولید کننده اعداد تصادفی (RNG) است که به قراردادهای هوشمند اجازه می دهد تا به مقادیر تصادفی بدون به خطر انداختن امنیت دسترسی پیدا کنند.

این محصول توسط چندین پروژه رمزنگاری، از جمله Axie Infinity، PancakeSwap، و Aavegotchi استفاده می‌شود تا از قرارداد هوشمند خود با تصادفی غیرقابل دستکاری محافظت کند و از نتایج قابل تأیید با استفاده از اثبات‌های رمزنگاری اطمینان حاصل کند.

سال گذشته، Trust و Obront گزارشی در مورد اینکه چگونه یک مالک اشتراک VRF مخرب می‌توانست با مسدود کردن و ارسال مجدد تصادفی تا زمانی که مقدار مورد نظر را دریافت کنند، از دریافت این فهرست تصادفی خنثی جلوگیری کند، ارائه کردند.

طبق گفته تیم Chainlink، این باگ به عنوان آسیب‌پذیری قرارداد هوشمند با تاثیر بحرانی طبقه‌بندی شد و افزود:

«در حالی که می‌تواند استفاده مورد نظر Chainlink VRF را برای ارائه تصادفی بودن زنجیره‌ای مقاوم در برابر دستکاری شفاف و قابل تأیید، به خطر بیاندازد، سناریوی قابل بهره‌برداری مستلزم رعایت تعدادی از شرایط خاص است و می‌تواند روی زنجیره قابل تشخیص باشد. مهمتر از همه، مالک اشتراک – نقشی که معمولاً توسط تیم پشت dApp با استفاده از VRF کنترل می شود – باید مخرب یا در خطر باشد.

پس از این حادثه، Chainlink یک ویژگی امنیتی را برای جلوگیری از سوء استفاده صاحبان VRF از این مشکل پیاده سازی کرد.

پیوند زنجیره ای از علاقه نهادی برخوردار است

فناوری پروتکل قابلیت همکاری متقابل زنجیره‌ای زنجیره‌ای (CCIP) شاهد افزایش پذیرش نسبت به پذیرش از سوی مؤسسات اصلی سنتی بوده است.

شبکه جهانی پیام‌رسانی مالی سوئیفت از این فناوری در آزمایش توکن‌سازی استفاده کرد که شامل انتقال توکن‌ها از طریق چندین بلاک چین در ماه آگوست بود. غول بازی کره جنوبی نیز در ماه اکتبر از آن برای تامین انرژی یک اکوسیستم بازی قابل همکاری Web3 استفاده کرد.

همچنین، مقامات هنگ کنگ آن را برای تبادل ارزش در آزمایشات ارز دیجیتال بانک مرکزی (CBDC) خود به کار گرفتند.

در نتیجه، نشانه لینک اصلی Chainlink و Grayscale’s Chainlink Trust (GLNK)، یک ابزار سرمایه گذاری نهادی، شاهد افزایش ارزش خود به بالاترین سطح جدید بوده اند.