Mạng oracle phi tập trung Chainlink đã trả tiền thưởng 300.000 đô la cho các hacker mũ trắng Zach Obront và Or Cyngiser (Trust), những người đã phát hiện ra một lỗi nghiêm trọng có thể làm sai lệch Verifiable Random Function (VRF) của nó.
The Bug
VRF là một trình tạo số ngẫu nhiên (RNG) cho phép các Hợp Đồng Thông Minh truy cập các giá trị ngẫu nhiên mà không ảnh hưởng đến bảo mật. Sản phẩm này được một số dự án tiền điện tử sử dụng, bao gồm Axie Infinity, PancakeSwap và Aavegotchi, để bảo vệ hợp đồng thông minh của họ bằng tính ngẫu nhiên chống giả mạo, không thể bị thao túng và đảm bảo kết quả có thể kiểm chứng được bằng cách sử dụng bằng chứng mật mã.
Năm ngoái, Trust và Obront đã gửi một báo cáo về cách chủ sở hữu đăng ký VRF độc hại có thể ngăn người dùng nhận được cuộn ngẫu nhiên trung tính này bằng cách chặn và cuộn lại tính ngẫu nhiên cho đến khi họ nhận được giá trị mong muốn.
Theo nhóm Chainlink, lỗi này được phân loại là lỗ hổng hợp đồng thông minh có tác động nghiêm trọng, đồng thời bổ sung thêm rằng :
“Mặc dù nó có thể ảnh hưởng đến mục đích sử dụng dự định của Chainlink VRF là cung cấp tính ngẫu nhiên trên chuỗi chống giả mạo có thể xác minh minh bạch, nhưng kịch bản có thể khai thác được yêu cầu phải đáp ứng một số điều kiện cụ thể và có thể phát hiện được trên chuỗi. Đáng chú ý nhất là chủ sở hữu đăng ký—một vai trò thường do nhóm đằng sau dApp sử dụng VRF kiểm soát—phải độc hại hoặc bị xâm phạm.”
Sau sự cố, Chainlink đã triển khai một tính năng bảo mật để ngăn chủ sở hữu VRF độc hại khai thác vấn đề.
Chainlink Nhận Được Sự Quan Tâm Của Tổ Chức
Công nghệ Chainlink’s Cross-Chain Interoperability Protocol (CCIP) ã chứng kiến sự gia tăng việc áp dụng từ việc áp dụng từ các tổ chức truyền thống lớn. Mạng nhắn tin tài chính toàn cầu Swift đã sử dụng công nghệ này trong một thử nghiệm mã thông báo liên quan đến việc chuyển mã thông báo qua nhiều chuỗi khối vào tháng 8. Gã khổng lồ game Hàn Quốc cũng đã sử dụng nó để hỗ trợ hệ sinh thái chơi game Web3 có thể tương tác vào tháng 10.
Ngoài ra, chính quyền Hồng Kông đã áp dụng nó để trao đổi giá trị trong các thử nghiệm Tiền tệ kỹ thuật số của Ngân hàng Trung ương (CBDC). Do đó, mã thông báo LINK gốc của Chainlink và Chainlink Trust (GLNK) của Grayscale, một phương tiện đầu tư của tổ chức, đã chứng kiến giá trị của chúng tăng lên mức cao mới.
