Detalhes da vulnerabilidade descoberta no Lightning Network se tornam conhecidos

O desenvolvedor da Blockstream, Rusty Russell, revelou mais detalhes sobre a vulnerabilidade da Lightning Network ficou conhecido no final de agosto.

Como Russell escreveu, a vulnerabilidade surgiuo processo de criação e reposição de canais da Lightning Network. Em particular, ao criar um canal, o destinatário não precisou verificar a quantidade de saída da transação usada para reabastecer o canal ou usar o script scriptpubkey, que permite verificar se determinadas condições são atendidas antes de gastar a saída.

A Lightning Network em nível de protocolo não requeressa verificação e, por esse motivo, o organizador do ataque teve a oportunidade de informar sobre a abertura do canal sem transferir o pagamento ao destinatário ou transferir um valor incompleto.

Como resultado, um invasor pode gastarfundos no canal sem notificar a outra parte sobre isso. Somente depois de fechar o canal, este último descobriu que as transações transmitidas por ele eram inválidas.

Em meados de setembro, os desenvolvedores reconheceram que a vulnerabilidade foi usada em condições reais, sem especificar a extensão dos possíveis danos.

No início de setembro, o diretor técnico do Lightning Labs e da ACINQ, Olaoluwa Osuntokun, confirmou os casos de exploração prática da vulnerabilidade descoberta.

Os seguintes lançamentos ainda são considerados vulneráveis:

• LND versão 0.7 e abaixo;
• c-lightning versão 0.7 e inferior;
• eclair versão 0.3 e abaixo.

Nesse sentido, desenvolvedores de grandes clientesA Lightning Network novamente lembra que você deve atualizar para as versões mais recentes. Ferramentas especiais (Lightning Labs e Acinq) também foram lançadas para determinar se o ataque afetou os usuários.

Lembre-se de que, no início desta semana, o número de nós do Lightning ativos na rede bitcoin excedeu 10.000.