Стали известны детали обнаруженной в Lightning Network уязвимости

Как мы писали ранее, известный разработчик Расти Рассел нашел критическую уязвимость в более ранних версиях разных имплементациях Lightning Network. Тогда он посоветовал всем пользователям в срочном порядке обновиться до более новых версий, так как в противном случае, они могли лишиться своих монет. Он сказал, что раскроет подробности уязвимости в конце сентября и вот буквально недавно он выполнил свое обещание. 

По словам Рассела Расти, данная уязвимость возникала во время создания и пополнения торговых каналов. В процессе создания нового канала получателю можно было не верифицировать сумму выхода транзакции, используемой для пополнения канала, или применять скрипт scriptpubkey.

Дело в том, что сеть LN на уровне протокола не требует подобной верификации, поэтому организатор атаки мог сообщить об открытии нового канала, передавая получателю лишь часть оплаты или не перечисляя ничего. Исходя из этого, злоумышленник мог распоряжаться средствами, которые находились в канале без оповещения другой стороны. Так как транзакции не записываются в блокчейн, обнаружить последствия можно было лишь после закрытия канала.

В середине сентября разработчики признали, что уязвимость использовалась в реальных условиях, не уточнив масштабы возможного ущерба. Напомним, ранее на этой неделе количество активных нод в Lightning Network превысило 10 000 штук.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *