A
Alex077
Модератор
- Регистрация
- 11 Ноя 2018
- Сообщения
- 9,692
Разработчик Blockstream Расти Рассел раскрыл более подробную информацию об уязвимости в сети Lightning Network, о которой впервые стало известно в конце августа.
See TheRustyTwit's other Tweets
Как написал Рассел, уязвимость возникала в процессе создания и пополнения каналов Lightning Network. В частности, при создании канала получателю не требовалось верифицировать сумму выхода транзакции, используемой для пополнения канала, или применять скрипт scriptpubkey, который позволяет удостовериться в соблюдении определенных условий перед расходованием выхода.
Lightning Network на уровне протокола не требует такой верификации, и по этой причине организатор атаки имел возможность сообщить об открытии канала, не передавая получателю оплату или же передавая неполную сумму.
Как следствие, злоумышленник мог расходовать находящиеся в канале средства, не уведомляя об этом другую сторону. Только после закрытия канала последняя обнаруживала, что переданные через него транзакции были недействительными.
В середине сентября разработчики признали, что уязвимость использовалась в реальных условиях, не уточнив масштабы возможного ущерба.
Ранее в сентябре технический директор Lightning Labs и ACINQ Олаолува Осунтокун подтвердил случаи практической эксплуатации обнаруженной уязвимости.
Уязвимыми по-прежнему считаются следующие релизы:
LND версии 0.7 и младше;
c-lightning версии 0.7 и младше;
eclair версии 0.3 и младше.
В этой связи разработчики основных клиентов Lightning Network снова напоминают о необходимости обновления до последних версий. Также были выпущены специальные инструменты (Lightning Labs и Acinq), позволяющие определить, затрагивала ли пользователей атака.
TheRustyTwit@rusty_twit
https://twitter.com/rusty_twit/status/1177702839725936641
ICYMI: Here are all the details of the recent Lightning bug. https://lists.linuxfoundation.org/pipermail/lightning-dev/2019-September/002174.html …
55
12:53 AM - Sep 28, 2019
Twitter Ads info and privacy
See TheRustyTwit's other Tweets
Как написал Рассел, уязвимость возникала в процессе создания и пополнения каналов Lightning Network. В частности, при создании канала получателю не требовалось верифицировать сумму выхода транзакции, используемой для пополнения канала, или применять скрипт scriptpubkey, который позволяет удостовериться в соблюдении определенных условий перед расходованием выхода.
Lightning Network на уровне протокола не требует такой верификации, и по этой причине организатор атаки имел возможность сообщить об открытии канала, не передавая получателю оплату или же передавая неполную сумму.
Как следствие, злоумышленник мог расходовать находящиеся в канале средства, не уведомляя об этом другую сторону. Только после закрытия канала последняя обнаруживала, что переданные через него транзакции были недействительными.
В середине сентября разработчики признали, что уязвимость использовалась в реальных условиях, не уточнив масштабы возможного ущерба.
Ранее в сентябре технический директор Lightning Labs и ACINQ Олаолува Осунтокун подтвердил случаи практической эксплуатации обнаруженной уязвимости.
Уязвимыми по-прежнему считаются следующие релизы:
LND версии 0.7 и младше;
c-lightning версии 0.7 и младше;
eclair версии 0.3 и младше.
В этой связи разработчики основных клиентов Lightning Network снова напоминают о необходимости обновления до последних версий. Также были выпущены специальные инструменты (Lightning Labs и Acinq), позволяющие определить, затрагивала ли пользователей атака.