Новости
Статьи

Стали известны детали обнаруженной в Lightning Network уязвимости

В конце лета стало известно об уязвимости в сети Lightning Network. Разработчик Blockstream Расти Рассел поделился подробностями об уязвимости.


Эдуард Радоевский
Стали известны детали обнаруженной в Lightning Network уязвимости

Разработчик Blockstream Расти Рассел раскрыл более подробную информацию об уязвимости в сети Lightning Network, о которой впервые стало известно в конце августа.

Как написал Рассел, уязвимость возникала в процессе создания и пополнения каналов Lightning Network. В частности, при создании канала получателю не требовалось верифицировать сумму выхода транзакции, используемой для пополнения канала, или применять скрипт scriptpubkey, который позволяет удостовериться в соблюдении определенных условий перед расходованием выхода.

Lightning Network на уровне протокола не требует такой верификации, и по этой причине организатор атаки имел возможность сообщить об открытии канала, не передавая получателю оплату или же передавая неполную сумму.

Как следствие, злоумышленник мог расходовать находящиеся в канале средства, не уведомляя об этом другую сторону. Только после закрытия канала последняя обнаруживала, что переданные через него транзакции были недействительными.

В середине сентября разработчики признали, что уязвимость использовалась в реальных условиях, не уточнив масштабы возможного ущерба.

Ранее в сентябре технический директор Lightning Labs и ACINQ Олаолува Осунтокун подтвердил случаи практической эксплуатации обнаруженной уязвимости.

Уязвимыми по-прежнему считаются следующие релизы:

LND версии 0.7 и младше;
c-lightning версии 0.7 и младше;
eclair версии 0.3 и младше.

В этой связи разработчики основных клиентов Lightning Network снова напоминают о необходимости обновления до последних версий. Также были выпущены специальные инструменты (Lightning Labs и Acinq), позволяющие определить, затрагивала ли пользователей атака.

Напомним, ранее на этой неделе количество активных Lightning-нод в сети биткоина превысило 10 000.

Источник: forklog.com

Похожие статьи

Новости

Криптопреступления превысят число других кибератак

Эксперт израильской компании по кибербезопасности Check Point Software Technologies сообщил, что в 2018 г. криптопреступления превысят количество других кибератак.

Дата:
Новости

Robinhood привлекли $363 млн для расширения платформы

Компания Robinhood привлекла еще $363 млн финансирования для расширения своей криптовалютной торговой платформы без комиссий.

Дата: