Blockstream核心技术工程师RustyRussell最近披露了闪电网络的全部漏洞。该报告指出,“攻击者可以声称开放渠道,但要么不向同伴付款,要么不全额支付”。
该报告补充说,一旦发现漏洞,就会报告给使用最广泛的实现:eclair和1nd,导致这两个实现都发现相似的漏洞。继此在大多数用户升级到最新版本之后,团队决定修复安全问题并公开有关此问题的信息。
该新闻稿说,“尽管这个长期存在的错误尚未被独立发现,因此在被修复之前不太可能被恶意方发现,但它确实为测试整个闪电生态系统中的通信和升级方法提供了机会。”
闪电网络是比特币的第二层扩展技术,可实现即时和低成本的付款。LightningLabs于2018年3月发布了第一个beta版本。
关于在闪电网络实现中发现的安全问题,初始公告于8月30日发布。该报告指出,已实施了三个版本;CVE-2019-12998c-lightning <0.7.1,CVE-2019-1299-12999 1nd <0.7和CVE-2019-13000 eclair <= 0.3。为了减轻资金损失的风险,强烈建议用户立即升级到0.7.1版。
Rusty Russell 在报告中说,“闪电网络的常见漏洞和披露(CVE)页面宣布,在各种闪电项目中发现了安全问题,这可能会导致资金损失。”
紧接着又是9月10日的另一份报告,Russell指出“有确诊的CVE被利用的实例”,用户必须对其进行升级以确保其资金安全。此外,Russell表示,他们“对网络进行了限制”,以确保不会出现广泛的资金损失。
9月27日发布的该漏洞完整披露说,导致这个问题的原因是,“接受渠道的闪电节点必须检查资金交易输出确实确实打开了交易渠道。否则,攻击者可以声称已经打开渠道,但要么不付给对等方资金,要么不支付全额费用。”
“同时,当交易达到最低深度后,便可以从渠道中支出资金。受害人只会在尝试关闭渠道时注意到,并且其所承担的任何承诺或相互关闭的交易均无效。”
原文来源于ambcrypto,由BluemountainLabs团队编译,英文版权归原作者所有,中文转载请联系编译。
本文来自,仅作分享,存在异议请联系平台删除。本文观点不代表刺猬财经 - 刺猬区块链资讯站立场。