Deweloper Blockstream, Rusty Russell, ujawnił więcej szczegółów na temat luki w Lightning Network z końca sierpnia.
Jak napisał Russell, luka powstała podczas tworzenia i uzupełniania kanałów Lightning Network. Podczas tworzenia kanału odbiorca nie musiał weryfikować kwoty wyjściowej transakcji użytej do uzupełnienia kanału, ani używać skryptu scriptpubkey, który pozwala sprawdzić, czy spełnione są określone warunki przed wydaniem danych wyjściowych.
Lightning Network na poziomie protokołu nie wymaga takiej weryfikacji i z tego powodu organizator ataku mógł poinformować o otwarciu kanału bez przekazania płatności odbiorcy lub przekazania niekompletnej kwoty.
W rezultacie atakujący mógł wydać środki bez powiadamiania drugiej strony. Dopiero po zamknięciu kanału ten ostatni stwierdzał, że transakcje przesyłane przez niego były nieważne.
W połowie września okazało się, że luka została wykorzystana, ale nie podano na jaką skalę.
Wcześniej we wrześniu dyrektor techniczny Lightning Labs i ACINQ, Olaoluwa Osuntokun, potwierdził przypadki wykorzystania odkrytej luki.
Następujące wersje są nadal uważane za wrażliwe:
LND wersja 0.7 i niższa;
c-Lightning w wersji 0.7 i niższej;
eclair wersja 0.3 i nowsze.
W związku z tym twórcy głównych klientów Lightning Network ponownie przypominają o potrzebie aktualizacji do najnowszych wersji. Wydano także specjalne narzędzia – Lightning Labs i Acinq.
https://lists.linuxfoundation.org/pipermail/lightning-dev/2019-September/002174.html
Przypomnijmy, że na początku tego tygodnia liczba aktywnych węzłów Lightning w sieci Bitcoin przekraczała 10 000.
Comments (No)