去中心化预言机网络 Chainlink 最近向白帽黑客 Trust 的 Zach Obront 和 Or Cyngiser 授予 30 万美元奖励,以表彰其发现其可验证随机函数 (VRF) 产品中的一个关键漏洞。VRF 允许智能合约访问防篡改的随机值,同时保持安全性。
该漏洞的发现是在Chainlink 越来越多的机构采用其跨链互操作性协议(CCIP)技术之际发现的。近几个月来, Swift、沃达丰和韩国最大的游戏公司等主要传统机构都使用了 Chainlink 的技术。
已发现的操纵潜力
根据 Chainlink Labs 的说法,Obront和Cyngiser发现了一个问题,即恶意 VRF 订阅所有者可能会通过阻止和重新滚动来阻止用户获得适当的随机性滚动,直到出现所需的结果。该团队将其归类为严重的智能合约漏洞。
尽管利用该漏洞所需的条件是特定的,但它仍然损害了 Chainlink VRF 提供透明且可验证的链上随机性的核心功能。主要风险来自受损或恶意的订阅所有者,该角色通常由使用 VRF的去中心化应用程序控制。
实施缓解措施,支付30万美元赏金
在咨询研究人员后,Chainlink 实施了修复程序,即使订阅所有者尝试利用该漏洞,也能保证随机交付。Obront 和 Cyngiser 由于负责任地披露了该问题而获得了 300,000 美元,使该赏金跻身Immunefi 历史上十大奖金之列。
Chainlink 在 HackerOne 和 Immunefi 上运行错误赏金计划,奖励帮助识别其系统弱点的安全研究人员。迄今为止,该网络已针对 75 多个已解决的报告支付了超过 500,000 美元。
Code4rena还进行了众包审计,以进一步加强安全性。随着采用率的不断提高,这个去中心化平台将继续采取措施确保其可靠性和透明度的声誉。
增加现实世界的用例
Axie Infinity、 PancakeSwap和 Aavegotchi 等 dApp 使用 Chainlink 的 VRF来保护智能合约。该公司的CCIP允许不同区块链之间进行通信,消除了去中心化金融的一个主要障碍。Swift 和 Vodafone 等机构巨头采用它进行代币化,表明人们对该技术的信任不断增强。
随着去中心化金融的迅速扩张,Chainlink 的安全性和互操作性解决方案可能会在现实世界中得到更多应用。随着用例规模的扩大,负责任地披露和缓解最近的 VRF 漏洞等问题对于保持可靠性至关重要。
