Разработчики Lightning Network разъяснили, в чем суть критической уязвимости сети

Каналы без верификации

Впервые об обнаруженной уязвимости стало известно еще в конце августа, но вчера в блоге Lightning Labs разработчики опубликовали пост, подробно описывающий суть проблемы. Они пояснили, что ряд более ранних версий программного обеспечения для Lightning-нод не обеспечивал надлежащих проверок новых каналов Lightning Network. Протокол позволял создавать и пополнять каналы, принимая их без должной верификации суммы выхода транзакции и без применения ScriptPubKey, части проверяющего скрипта, который гарантировал бы соблюдение условий транзакции. Соответственно, это открывало перед недобросовестными участниками сети лазейку для злоупотреблений. Как поясняют авторы поста, принятие нодой такого недействительного канала в дальнейшем могло привести к потере средств в результате транзакций, осуществляемых через него. Потенциально злоумышленники могли открывать совместные со своей жертвой каналы, не передавая при этом полностью или частично заявленную сумму, а затем в одностороннем порядке расходовать средства из ноды жертвы. Вся правда о транзакциях вскрывалась лишь после закрытия канала.

Надо ли паниковать?

Ранее в этом месяце разработчики Lightning Labs признали наличие отдельных случаев эксплуатации данной уязвимости на практике. Впрочем, ни о каких масштабах эпидемии речи не идет. Онлайн-сообщество тоже достаточно спокойно ведет себя по этому поводу. Как прокомментировал в Twitter программист и криптоэнтузиаст Udi Wertheimer, количество пострадавших от выявленной уязвимости близко к нулю. При этом он поблагодарил разработчиков за оперативное решение проблемы.

lightning vulnerability disclosed today. Make sure you upgrade

While very few if any were likely affected, I’d say it’s pretty severe. LN implementations are still early and could use a lot of ❤️ in the form of reviews

Thanks to the 3 teams for handling this quickly and safely! https://t.co/AET8F7lwK3

— Udi Wertheimer (@udiWertheimer) September 27, 2019

Операторам Lightning-нод уже были предложены специальные инструменты, с помощью которых они смогут проверить, не приняли ли их ноды подобные уязвимые каналы. Также разработчики проекта воспользовались ситуацией, чтобы в очередной раз напомнить пользователям о необходимости регулярно и своевременно обновлять свое программное обеспечение до последних версий. В частности, они указали на уязвимость нод  LND по версию 0.7 включительно. Актуальной безопасной версией считается на данный момент релиз 0.7.1 от 30 июля. Также в Lightning Network напомнили, что сеть все еще находится на стадии становления. В этой связи пользователям не рекомендуется вносить в платежные каналы слишком большие суммы, которые они не могут себе позволить потерять. Удивляет ли вас обнаружение подобных критических уязвимостей в сети Lightning Network? Думаете ли вы, что это далеко не последний выявленный баг? Поделитесь с нами своими комментариями. Изображения предоставлены Twitter, Shutterstock.