4 грудня 2020 р.

Стали відомі деталі виявленої в Lightning Network уразливості

Розробник Blockstream Рости Рассел розкрив більш детальну інформацію про уразливість в мережі Lightning Network, про яку вперше стало відомо в кінці серпня.

</ P>

Як написав Рассел, вразливість виникала впроцесі створення і поповнення каналів Lightning Network. Зокрема, при створенні каналу одержувачу не було потрібно верифікувати суму виходу транзакції, використовуваної для поповнення каналу, або застосовувати скрипт scriptpubkey, який дозволяє забезпечити дотримання певних умов перед витрачанням виходу.

Lightning Network на рівні протоколу не вимагаєтакий верифікації, і з цієї причини організатор атаки мав можливість повідомити про відкриття каналу, не передаючи одержувачу оплату або ж передаючи неповну суму.

Як наслідок, зловмисник міг витрачатищо знаходяться в каналі кошти, не повідомляючи про це іншу сторону. Тільки після закриття каналу остання виявляла, що передані через нього транзакції були недійсними.

В середині вересня розробники визнали, що уразливість використовувалася в реальних умовах, не уточнивши масштаби можливої ​​шкоди.

Раніше у вересні технічний директор Lightning Labs і ACINQ Олаолува Осунтокун підтвердив випадки практичної експлуатації виявленої уразливості.

Уразливими як і раніше вважаються наступні релізи:

  • LND версії 0.7 і молодше;
  • c-lightning версії 0.7 і молодше;
  • eclair версії 0.3 і молодше.

У зв'язку з цим розробники основних клієнтівLightning Network знову нагадують про необхідність поновлення до останніх версій. Також були випущені спеціальні інструменти (Lightning Labs і Acinq), що дозволяють визначити, торкалася чи користувачів атака.

Нагадаємо, раніше на цьому тижні кількість активних Lightning-нод в мережі біткоіни перевищило 10 000.