2019-9-28 16:55 |
Рассел об уязвимости в LN
«Кусок кода разработчики не заметили в процессе пополнения и создания каналов в сети. В процессе получателю можно было не верифицировать сумму выхода перевода или применять scriptpubkey. Он дает возможность удостовериться в исполнении условий перед расходом этого же вывода. Уязвимость, по сути, не сулит никакой опасности, так как все операции проводятся внутри блокчейна. В то же время, сама сеть не требует верификации на уровне протокола, что может вызвать появление более серьезных пробелов и реального доступа к транзакциям», — рассказал Рассел.
В случае атаки на Lightning Network ее организатор мог бы не сообщать получателю размер оплаты, из-за чего до последнего вывод средств зафиксировать бы не удалось. По словам Рассела, такой подход упрощает работу блокчейна, но создает угрозу при осуществлении транзакций. Решить проблему может внедрение алгоритмов, контролирующих верификацию переводов и заставляющих отправителя и получателя подтверждать их сумму.
В середине сентября разработчики признали, что выявленная ранее уязвимость использовалась в ходе проверки работоспособности сети. Масштабы реального ущерба от возможной атаки с применением бага не уточнялись. По словам Рассела, такой подход может существенно снизить индекс доверия к Lightning Network.
Уязвимыми версиями Lightning Network считаются следующие релизы:
LND версии 0.7. c-lightning версии 0.7. eclair версии 0.3.Разработчики Lightning Network напоминают о важности обновления программного обеспечения до последних версий по мере поступления апдейтов. Также планируется презентовать ряд специальных инструментов для определения спектра действия возможной атаки.
Ранее сообщалось, что МВФ предложил привлечь частные компании к запуску CBDC.
Аналог Notcoin - Blum - Играй и зарабатывай Монеты