ВЕРНУТЬСЯ К СПИСКУ НОВОСТЕЙ

Уязвимость раскрыла, что сеть Lightning Network не проверяла подлинность биткоин-транзакций

OV3R
29 сентября 2019
35

нода Lightning Network

Расти Рассел, один из разработчиков Lightning Network, обнаружил серьезную уязвимость в сети Lightning Network. Проблему он описал так:

По сути, вы думаете, что я плачу вам, однако это не так. А в это время вы с радостью отправляете средства дальше.

Критическая ошибка, по-видимому, уже исправлена. Однако её наличие означает, что ноды Lightning Network не проверяли ни действительность канала, ни подписи транзакций. Т.е. вы могли создать поддельную транзакцию и сеть признала бы её.

Как только эта транзакция достигает минимальной глубины, она может тратить средства канала. Жертва заметит махинацию лишь тогда, когда попытается закрыть канал, и никакие обязательства или взаимные сделки закрытия не будут действительными.

Рассел объясняет, что в спецификации не указана необходимость проводить эти чрезвычайно простые проверки. Он заявляет:

По факту, сеть не требовала от получателя фактической проверки того, что транзакция является той, которую обещал отправитель: как по сумме, так и по фактическому ключу сценария

Как такие основы технологии блокчейн не были проверены разработчиками — непонятно. Возможно это из-за того, что сеть Lightning Network всё ещё достаточно мала, т.к. имеет чуть-чуть больше средств, чем токенизированный Биткойн на основе Ethereum.

Тем не менее, в проекте есть три команды и достаточное количество разработчиков, которые годами не задумывались, а стоит ли действительность канала или нет.

Даже сам Рассел, обнаруживший данный эксплойт, узнал о нём случайно, когда
тестировал «новые функции, которые добавляют новые проблемы».

Похожие посты