Стали известны детали обнаруженной в Lightning Network уязвимости

Разработчик Blockstream Расти Рассел раскрыл более подробную информацию об уязвимости в сети Lightning Network, о которой впервые стало известно в конце августа.

Как написал Рассел, уязвимость возникала в процессе создания и пополнения каналов Lightning Network. В частности, при создании канала получателю не требовалось верифицировать сумму выхода транзакции, используемой для пополнения канала, или применять скрипт scriptpubkey, который позволяет удостовериться в соблюдении определенных условий перед расходованием выхода.

Lightning Network на уровне протокола не требует такой верификации, и по этой причине организатор атаки имел возможность сообщить об открытии канала, не передавая получателю оплату или же передавая неполную сумму.

Как следствие, злоумышленник мог расходовать находящиеся в канале средства, не уведомляя об этом другую сторону. Только после закрытия канала последняя обнаруживала, что переданные через него транзакции были недействительными.

В середине сентября разработчики признали, что уязвимость использовалась в реальных условиях, не уточнив масштабы возможного ущерба.

Ранее в сентябре технический директор Lightning Labs и ACINQ Олаолува Осунтокун подтвердил случаи практической эксплуатации обнаруженной уязвимости.

Уязвимыми по-прежнему считаются следующие релизы:

• LND версии 0.7 и младше;
• c-lightning версии 0.7 и младше;
• eclair версии 0.3 и младше.

В этой связи разработчики основных клиентов Lightning Network снова напоминают о необходимости обновления до последних версий. Также были выпущены специальные инструменты (Lightning Labs и Acinq), позволяющие определить, затрагивала ли пользователей атака.

Напомним, ранее на этой неделе количество активных Lightning-нод в сети биткоина превысило 10 000.

Подписывайтесь на новости ForkLog в Twitter!