La vulnérabilité Chainlink VRF contrecarrée par des pirates informatiques au chapeau blanc avec une récompense de 300 000 $

Le réseau Oracle décentralisé Chainlink (LINK) a versé une prime de 300 000 $ aux pirates informatiques Zach Obront et Or Cyngiser (Trust), qui ont découvert un bug critique qui aurait pu fausser sa fonction aléatoire vérifiable (VRF).

L’insecte

VRF est un générateur de nombres aléatoires (RNG) qui permet aux contrats intelligents d’accéder à des valeurs aléatoires sans compromettre la sécurité.

Le produit est utilisé par plusieurs projets de cryptographie, notamment Axie Infinity, PancakeSwap et Aavegotchi, pour protéger leur contrat intelligent avec un caractère aléatoire inviolable qui ne peut pas être manipulé et garantir des résultats vérifiables à l’aide de preuves cryptographiques.

L’année dernière, Trust et Oront ont soumis un rapport sur la manière dont un propriétaire d’abonnement VRF malveillant aurait pu empêcher les utilisateurs d’obtenir ce jet aléatoire neutre en bloquant et en relançant le hasard jusqu’à ce qu’ils reçoivent la valeur souhaitée.

Selon l’équipe Chainlink, ce bug a été classé comme une vulnérabilité de contrat intelligent à impact critique, ajoutant que :

«Bien que cela puisse compromettre l’utilisation prévue de Chainlink VRF consistant à fournir un caractère aléatoire en chaîne inviolable et vérifiable de manière transparente, le scénario exploitable nécessitait le respect d’un certain nombre de conditions spécifiques et serait détectable en chaîne. Plus particulièrement, le propriétaire de l’abonnement – ​​un rôle généralement contrôlé par l’équipe derrière la dApp utilisant VRF – doit être malveillant ou compromis.

À la suite de l’incident, Chainlink a mis en œuvre une fonction de sécurité pour empêcher les propriétaires malveillants de VRF d’exploiter le problème.

Chainlink bénéficie d’un intérêt institutionnel

La technologie CCIP (Cross-Chain Interoperability Protocol) de Chainlink a connu une augmentation de son adoption par rapport à son adoption par les grandes institutions traditionnelles.

Le réseau mondial de messagerie financière Swift a utilisé cette technologie dans une expérience de tokenisation qui impliquait le transfert de jetons sur plusieurs blockchains en août. Le géant sud-coréen du jeu l’a également utilisé pour alimenter un écosystème de jeu Web3 interopérable en octobre.

En outre, les autorités de Hong Kong l’ont adopté pour l’échange de valeurs dans leurs essais de monnaie numérique de la banque centrale (CBDC).

En conséquence, le jeton LINK natif de Chainlink et le Chainlink Trust (GLNK) de Grayscale, un véhicule d’investissement institutionnel, ont vu leur valeur atteindre de nouveaux sommets.

La vulnérabilité post Chainlink VRF contrecarrée par des pirates informatiques au chapeau blanc avec une récompense de 300 000 $ est apparue en premier sur CryptoSlate.