Один из разработчиков решения Lightning Network Расти Рассел опубликовал описание уязвимости сети и возможное решение проблемы.
Рассел обнаружил уязвимость еще в августе. Она появляется при открытии каналов для финансирования. Процесс передачи средств не требует, чтобы получатель проверял, является ли сумма транзакции и ключ scriptpubkey настоящими, что может привести к краже.
«Узел Lightning Network, принимающий канал, должен проверить, что транзакция соответствует параметрам. В противном случае злоумышленник может потребовать открыть канал, но либо не произвести оплату, либо не заплатить полную сумму. А как только транзакция достигает минимальной глубины, злоумышленник может потратить средства из канала. Жертва заметит кражу только тогда, когда попытается закрыть канал, и никакие параметры для закрытия не будут действительными», — сказал Рассел.
Он предложил решение этой проблемы и предупредил, что программное обеспечение c-lightning версии 0.7.1 и выше выполняют процесс открытия канала правильно. Поэтому пользователи более старых версий должны обновится как можно скорее.
В начале сентября технический директор стартапов Lightning Labs и ACINQ Олаолува Осунтокун также заметил эту уязвимость и сообщил, что уже есть случаи ее использования. Чтобы избежать потери средств, Осунтокун также настоятельно рекомендовал пользователям обновить свою версию LN.
