去中心化oracle网络Chainlink最近授予白帽黑客Zach Obront和Or Cyngiser 30万美元，因为他们发现了其可验证随机函数（VRF）产品中的一个关键漏洞。VRF允许智能合约在维护安全的同时访问防篡改的随机值。

该漏洞的发现正值Chainlink越来越多的机构采用其跨链互操作性协议（CCIP）技术之际。近几个月来，Swift、Vodafone和韩国最大的游戏公司等主要传统机构都在使用Chainlink的技术。

未发现的操纵潜力

根据Chainlink实验室的说法，Obront和Cyngiser发现了一个问题，即恶意VRF订阅所有者可能会通过阻止和重新滚动来阻止用户获得适当的随机性滚动，直到出现期望的结果。该团队将其归类为一个关键的智能合约漏洞。

尽管利用该漏洞所需的条件是特定的，但它仍然损害了Chainlink VRF在提供透明和可验证的链上随机性方面的核心功能。主要风险来自受损或恶意订阅所有者，该角色通常由使用VRF的去中心化应用程序控制。

实施缓解措施，支付30万美元奖金

在咨询了研究人员后，Chainlink实现了一个修复程序，即使订阅所有者试图利用该漏洞，也能保证随机性交付。Obront和Cyngiser因负责任地披露了这一问题而获得了30万美元，使这笔奖金跻身Immunefi历史上的前十大奖金之列。