Вразливість Lightning Network дозволяла зловмисникові пересилати фейкові біткойни

У червні була виявлена ​​помилка в Lightning Network, яка дозволяла проводити транзакції, не підкріплюючи їх необхідною сумою біткойнів. У своєму новому звіті розробники протоколу повідомили, що ця вразливість усунута в нових версіях програмного забезпечення.

27 червня розробник Рості Рассел виявив вразливість під час проведення тестів в мережі. Фахівці вважають, що ймовірність того, що було завдано серйозної шкоди, вкрай мала, проте, відомо як мінімум про один випадок використання цієї вразливості. Рассел повідомив про проблеми в безпеці в кінці вересня, наполегливо порекомендував користувачам оновитися до версій до Eclair 0.3.1 або Eclair Mobile 0.4.7+ і пообіцяв відзвітувати про проблему 27 вересня, що він і зробив.

У звіті говориться:

Нода Lightning, яка бере канал, повинна перевірити, що вихідні дані фінансової транзакції дійсно відповідають пропонованому відкритому каналу. В іншому випадку зловмисник може заявити про відкриття каналу, не надавши оплату одержувачу або передавши неповну суму.


До скомпрометованих версій відносяться c-lightning V.0.7.0 і більш ранні, lnd V.0.7.0 і більш ранні, а також eclair V.0.3.0 і більш ранні. Деякі версії перевіряють тільки частину даних, необхідних для підтвердження автентичності транзакції.

Розробники внесли необхідні зміни в програмне забезпечення і дотримуються думки, що, незважаючи на проблеми, які викликала виявлена ​​вразливість, ця ситуація «дала можливість протестувати комунікації і методи оновлення всієї екосистеми Lightning». Розробники також представили інструмент, за допомогою якого користувачі можуть самостійно перевірити, чи зачіпала ця атака їх ноди Lightning.