白帽黑客發現Chainlink VRF漏洞并獲得30萬美元獎勵

金色財經報道，去中心化預言機網絡Chainlink向白帽黑客Zach Obront和Or Cyngiser(Trust)支付了30萬美元的賞金，因為他們發現了一個可能使其可驗證隨機函數（VRF）發生偏移的關鍵漏洞。

VRF是一種隨機數生成器（RNG），允許智能合約在不影響安全性的情況下訪問隨機值，包括AxieInfinity、PancakeSwap和Aavegotchi在內的多個加密項目都在使用該產品，以保護其智能合約具有無法篡改的隨機性，并使用加密證明確保可驗證的結果。事件發生后，Chainlink實施了一項安全功能，以防止惡意VRF所有者利用這一問題。

其它快訊：

跨鏈橋Wormhole向白帽黑客satya0x支付1000萬美元漏洞賞金:金色財經消息，跨鏈橋Wormhole今日發布博客表示，在2月24日，化名satya0x的白帽黑客披露了以太坊Wormhole核心橋接合約中的一個嚴重漏洞，這個錯誤是一個可升級的代理實現自毀錯誤，有助于防止潛在的用戶資金鎖定。

Wormhole在報告的同一天驗證并修復了問題，沒有任何用戶資金損失。為此，Wormhole向satya0x支付了創紀錄的1000萬美元的漏洞賞金。[5/21/2022 11:07:04 AM]

Immunefi：白帽黑客發現Polygon智能合約中PoS系統漏洞:2月21日消息，Immunefi 今日發布了一份關于Polygon共識機制的漏洞報告。報告顯示，1月15日， 白帽Niv Yehezkel在 Polygon 在以太坊上的智能合約中的權益證明 (PoS) 系統中發現了一個漏洞，這將允許攻擊者降低總權益，從而允許繞過共識，這可能會導致攻擊者流失來自存款經理的所有資金，進行無限制的提款，DoS等等。

由于漏洞利用的復雜性，該漏洞的嚴重性級別為 75,000 美元。 攻擊者要利用此漏洞，必須滿足特定的市場條件。例如，驗證者點必須是開放的，并且資本要求很高。使用 flashbots 直接支付給礦工留在驗證者位置的金額也很高。此外，Polygon 網絡的檢查點時間每 30-45 分鐘發生一次，攻擊者需要長時間維護驗證者位置，從而由??于時間要求增加了攻擊成本。[2/21/2022 12:13:08 AM]

Poly Network：邀請白帽黑客擔任首席安全顧問，50萬美元賞金將會發送到其錢包地址:8月17日，Poly Network發布黑客攻擊后的善后工作進展。Poly Network正按照既定的路線圖完成了“主網升級”的第二階段，最近每天都與白帽黑客保持聯系，交流進展情況，并努力與白帽黑客達成共識，希望白帽黑客盡快將私鑰移交還，以便盡早將資產還給用戶。

Poly Network表示，無意追究白帽先生的法律責任，同時為感謝并鼓勵白帽黑客繼續與Poly Network共同為區塊鏈世界的安全進步做出貢獻，Poly Network邀請白帽黑客擔任Poly Network的首席安全顧問。

Poly Network還表示，此前承諾獎勵給白帽黑客的 50 萬美元的漏洞懸賞，雖然遭到白帽黑客的拒絕，但Poly Network仍會將這50萬美元的賞金轉移到白帽黑客批準的錢包地址，供他自行決定用于網絡安全事業和支持更多項目和個人。[8/17/2021 6:02:07 PM]