Стали известны детали обнаруженной уязвимости в сети освещения

Разработчик Blockstream Расти Рассел раскрыл более подробную информацию об уязвимости в сети молниеносно Сеть, о которой впервые стало известно в конце августа.

Как написал Рассел, уязвимость возникала в процессе создания и пополнения каналов сети освещения. В частности, при создании канала получателю не требовалось верифицировать сумму выхода транзакции, используемой для пополнения канала, или применять скрипт scriptpubkey, который позволяет удостовериться в соблюдении определенных условий перед расходованием выхода.

Молния сети на уровне протокола не требует такой верификации, и по этой причине организатор атаки имел возможность сообщить об открытии канала, не передавая получателю оплату или же передавая неполную сумму.

Как следствие, злоумышленник мог расходовать средства находящиеся в канале, не уведомляя об этом другую сторону. Только после закрытия канала последняя обнаруживала, что переданные через него транзакции были недействительными.

В середине сентября разработчики признали, что уязвимость использовалась в реальных условиях, не уточнив масштабы возможного ущерба.

Ранее в сентябре технический директор Лаборатории молнии и ACINQ Олаолува Осунтокун подтвердил случаи практической эксплуатации обнаруженной уязвимости.

Уязвимыми по-прежнему считаются следующие релизы:

ЛНД версии 0.7 и младше;
с-молнией версии 0.7 и младше;
эклер версии 0.3 и младше.

В этой связи разработчики основных клиентов сети освещения снова напоминают о необходимости обновления до последних версий. Также были выпущены специальные инструменты (молния лаборатории и Acinq), позволяющие определить, затрагивала ли пользователей атака.

Напомним, ранее на этой неделе количество активных молниеносно нод в сети биткоина превысило 10 000.

Подписывайтесь на новости ForkLog в Твиттере!

Нашли ошибку в тексте? Выделите ее и нажмите клавиши Ctrl+ввод

Подписаться на новости Forklog

forklog.com

Источник

Добавить комментарий