Команда Lightning Labs сообщила об обнаружении уязвимости в имплементации Lightning Network LND версии 0.10.x и младше. В связи с этим операторов нод призывают обновиться до версии 0.11.0 в кратчайшие сроки.
Lightning Network представляет собой решение по масштабированию биткоина второго уровня, позволяющее существенно снизить время подтверждения транзакций и расходы на их обработку.
Как поясняет директор по криптографической инженерии Lightning Labs Коннер Фромкнехт, случаев использования этой уязвимости на практике зафиксировано не было, однако окружающие раскрытие информации обстоятельства вынудили разработчиков действовать в условиях сжатых сроков. В настоящее время осуществляется «частичное» раскрытие уязвимости, тогда как детальный отчет будет опубликован 20 октября.
«Хотя у нас нет оснований полагать, что эти уязвимости использовались в реальных условиях, мы настойчиво рекомендуем сообществу обновиться до lnd 0.11.0 или выше при первой же возможности», – сообщил Фромкнехт.
Lightning Labs является разработчиком одной из трех крупных имплементаций Lightning Network. Релиз LND v0.11.1-beta состоялся 1 октября.
В сентябре разработчики Йуст Ягер рассказал об уязвимости недавно добавленных в Lightning Network Wumbo-каналов, которые позволяют осуществлять более крупные транзакции. Обнаруженный Ягером баг в Wumbo-каналах заключается в том, что они не способны хранить больше 483 хешей и контрактов с временным замком (HTLC) одновременно, невзирая на более высокую пропускную способность. Таким образом, злоумышленник может отправить 483 микроплатежа в свой собственный адрес и израсходовать доступные ресурсы, чтобы заблокировать канал на срок до двух недель.
