比特币:闪电网络危险漏洞详细信息被披露,新版本客户端不受影响

据Coindesk9月28日报道,比特币闪电网络的开发者RustyRussell公布了8月份发现该网络漏洞的详细信息,并提出了解决方案。

Russell在披露的完整信息中写道:

在支付通道打开前,闪电网络节点必须检查资金交易的输出是否符合标准。否则,攻击者就可以在不进行支付或没有全额支付的情况下打开支付通道。一旦交易达到最低深度,攻击者就可以从通道中转走资金。受害者只有在关闭支付通道时才会注意到自己的资金已经被转走了,但是再进行任何操作甚至是关闭交易都无法挽回损失。

推特用户Burak创建非标准比特币交易破坏闪电网络,目前已修复:11月2日消息,Twitter用户Burak(@brqgoo)周二创建一个非标准比特币交易,阻止用户打开新的闪电通道,导致运行比特币实现的比特币节点btcd突然停止创建新的交易区块,所有闪电网络守护程序(LND)节点出现相应故障。

依赖Bitcoin Core的核心闪电(CLN)节点不受影响。之后,Burak利用的漏洞被Elle Mouton和Oliver Gugger修复。此举引发社区讨论,开发者在推特上谴??责Burak行为。(CoinDesk)[2022/11/2 12:08:53]

闪电网络是比特币的第二层支付协议,它支持比特币区块链上的超高速、低成本的交易。为了通过使用闪电网络发送交易,用户必须打开“支付通道”来发送和接收其他用户的资金。

闪电网络Neutronpa完成225万美元种子轮融资,Hivemind Ventures领投:9月14日消息,Neutronpay 是一家位于加拿大温哥华和越南胡志明市的初创公司,使消费者和企业能够在比特币的闪电网络上发送和接收付款本轮融资由Hivemind Ventures领投,参投机构包括Republic、Cavalry、Ride Wave、Studio、Iterative、Fulgur Ventures、Lightning Labs和个人投资者Bil??l Crowley和Lisa Shields。这笔资金用于扩招各个部门员工,计划进一步开发企业API、推出移动应用程序、促进销售并推动合规性发展。(GlobeNewswire)[2022/9/14 13:29:37]

如果节点没有对支付通道进行正确检查,那么攻击者就可以假装打开一个新的支付通道并发送虚假交易。在被后,用户会在不知道此前交易完全是虚假的情况下,向攻击者发送资金。目前尚不清楚有多少用户成为此类攻击的受害者。

分布式系统专家安德烈亚斯·安东诺普洛斯:不希望数字货币交易所使用闪电网络:安东诺普洛斯表示自己并不期望Coinbase这些在监管框架下的数字货币交易所运行闪电网络。另外,他还认为闪电网络存在伪闪电网络交易和真实性不足等问题。[2018/1/28]

Russell表示,目前,所有主要的闪电网络客户端都已经升级并修复了这个漏洞。

当被问及为什么要花三个月的时间才向用户披露这个漏洞时,?ACINQ的首席执行官Pierre-MariePadiou表示,开发人员必须谨慎处理这类问题。

Padio说:

如果公布这一漏洞的详细信息,那么它就会变得非常容易被人利用。三个月的时间并不长,因为你必须给用户足够长的时间来更新自己的客户端,而且很多用户都不会进行更新。

他补充说,在完全确定没有用户处于危险之前,闪电网络的开发人员不想冒险暴露这个漏洞:

问题总会出现的。即使在比特币协议上,也存在漏洞。最重要的是如何以最佳方式来处理这些问题,从而保护用户的资金安全。

针对此漏洞的解决方案

Russel还对上述问题提出了解决方案。一旦节点看到新的支付通道,它就“必须要检查‘funding_created’是否为资金的交易输出,并显示‘open_channel’中的金额。”

该文件还警告说,闪电网络客户端c-lightning的0.7.1及以上版本将正确执行该过程,并敦促用户对其旧版本的客户端进行升级。

9月10日,总部位于伦敦的初创公司LightningLabs和ACINQ的首席技术官Osuntokun也表示他们发现了该漏洞被利用的实例。为了避免资金损失的风险,Osuntokun强烈建议用户更新闪电网络客户端的版本。受影响的版本包括?LND的0.7及以下版本,c-lightning的?0.7及以下版本,éclair的0.3及以下版本。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

[0:31ms0-10:737ms