Помилка у Bitcoin Lightning загрожує крадіжкою біткойнів через застарілі вузли LND

Помилка у Bitcoin Lightning дозволяє віддалене викрадення біткойнів через вузли LND

Сьогодні велика помилка потрясла користувачів Bitcoin Lightning. Відомий розробник Bitcoin “Calle” попередив операторів вузлів, що використовують програмне забезпечення старіше за версію Lightning Network Daemon (LND) 0.18.5 або LITD 0.14.1.

Вразливість пов`язана з тим, як LND перевіряє поля опису для розрахунку Lightning-інвойсів. Розумні хакери змогли знайти спосіб маніпулювати станом оплати таких інвойсів, щоб віддалено висмоктувати кошти.

Співзасновник Satoshi Labs Павол Руснак також забив тривогу. Коли повідомлення набрали десятки тисяч переглядів, користувачі мережі Lightning поширили інформацію про невідкладну загрозу крадіжки.

Lightning - це сітка з приблизно 5,000 BTC, які рухаються швидше і дешевше, ніж звичайні, на-ланцюгові BTC. Шляхом маршрутизації платежів через 44,000 публічних каналів, що з`єднують понад 16,000 вузлів, користувачі Lightning жертвують повною безпекою та децентралізацією BTC заради швидкості, економії та додаткових функцій.

Вони також піддаються ризику специфічних помилок Lightning, які не впливають на базовий рівень. Виправлення вузлів Bitcoin Lightning до LND 18.5.

Нещодавно випущене програмне забезпечення вузлів LND 0.18.5 та LITD 0.14.1 усуває цей віддалений вектор загрози. Тривожно, що LND 18.5 був випущений лише минулого тижня, тому багато вузлів LND все ще застарілі та вразливі.

Число застарілих вузлів LND налічує сотні або низькі одиничні тисячі станом на момент публікації. LND historically був обраним програмним забезпеченням для більшості операторів вузлів Lightning.

Помилка полягає в нездатності скасувати AMP-інвойси, якщо у них є вирішений підінвойс. Розробник Lightning відомий як ziggie1984 опублікував запит на патч, що пропонує дозволити AMP-інвойсам спливати, навіть якщо вони мають вирішений підінвойс.

Effet Cantillon опублікував деяке заспокоєння, що торговці, які використовують програмне забезпечення Lightning Labs, можуть бути в безпеці, якщо їхній вузол LND не взаємодіє з інвойсами, згенерованими такими послугами, як BTCPay.

Відомо, що BTCPay Server нещодавно оновив свій вузол LND до 0.18.5.

Прочитайте більше: Помилка Bitcoin Lightning може заблокувати та вкрасти мільйони доларів

Швидкий огляд коментарів до популярних постів в X виявив кілька реальних випадків фактичного викрадення коштів, хоча вразливість все ще активно існує станом на момент публікації, а деталі крадіжки були нечисленними.

Усі основні розробники Lightning рекомендують оновитися до останньої версії LND, яка виправляє цю експлуатацію.

Персонал Lightning Labs, лідери LND, поки не оприлюднили офіційну заяву. Запит на злиття в GitHub вказує на те, що їхня команда розробників була обізнана про проблему три тижні тому.