آسیب پذیری VRF زنجیره ای توسط هکرهای کلاه سفید با پاداش 300 هزار دلاری خنثی شد
شبکه غیرمتمرکز اوراکل Chainlink (LINK) جایزه ای 300000 دلاری به هکرهای کلاه سفید Zach Obront و Or Cyngiser (Trust) پرداخت که یک باگ مهم را کشف کردند که می توانست عملکرد تصادفی قابل تأیید (VRF) آن را منحرف کند.
حشره
VRF یک تولید کننده اعداد تصادفی (RNG) است که به قراردادهای هوشمند اجازه می دهد تا به مقادیر تصادفی بدون به خطر انداختن امنیت دسترسی پیدا کنند.
این محصول توسط چندین پروژه رمزنگاری، از جمله Axie Infinity، PancakeSwap، و Aavegotchi استفاده میشود تا از قرارداد هوشمند خود با تصادفی غیرقابل دستکاری محافظت کند و از نتایج قابل تأیید با استفاده از اثباتهای رمزنگاری اطمینان حاصل کند.
سال گذشته، Trust و Obront گزارشی در مورد اینکه چگونه یک مالک اشتراک VRF مخرب میتوانست با مسدود کردن و ارسال مجدد تصادفی تا زمانی که مقدار مورد نظر را دریافت کنند، از دریافت این فهرست تصادفی خنثی جلوگیری کند، ارائه کردند.
طبق گفته تیم Chainlink، این باگ به عنوان آسیبپذیری قرارداد هوشمند با تاثیر بحرانی طبقهبندی شد و افزود:
«در حالی که میتواند استفاده مورد نظر Chainlink VRF را برای ارائه تصادفی بودن زنجیرهای مقاوم در برابر دستکاری شفاف و قابل تأیید، به خطر بیاندازد، سناریوی قابل بهرهبرداری مستلزم رعایت تعدادی از شرایط خاص است و میتواند روی زنجیره قابل تشخیص باشد. مهمتر از همه، مالک اشتراک – نقشی که معمولاً توسط تیم پشت dApp با استفاده از VRF کنترل می شود – باید مخرب یا در خطر باشد.
پس از این حادثه، Chainlink یک ویژگی امنیتی را برای جلوگیری از سوء استفاده صاحبان VRF از این مشکل پیاده سازی کرد.
پیوند زنجیره ای از علاقه نهادی برخوردار است
فناوری پروتکل قابلیت همکاری متقابل زنجیرهای زنجیرهای (CCIP) شاهد افزایش پذیرش نسبت به پذیرش از سوی مؤسسات اصلی سنتی بوده است.
شبکه جهانی پیامرسانی مالی سوئیفت از این فناوری در آزمایش توکنسازی استفاده کرد که شامل انتقال توکنها از طریق چندین بلاک چین در ماه آگوست بود. غول بازی کره جنوبی نیز در ماه اکتبر از آن برای تامین انرژی یک اکوسیستم بازی قابل همکاری Web3 استفاده کرد.
همچنین، مقامات هنگ کنگ آن را برای تبادل ارزش در آزمایشات ارز دیجیتال بانک مرکزی (CBDC) خود به کار گرفتند.
در نتیجه، نشانه لینک اصلی Chainlink و Grayscale’s Chainlink Trust (GLNK)، یک ابزار سرمایه گذاری نهادی، شاهد افزایش ارزش خود به بالاترین سطح جدید بوده اند.