据Coindesk9月28日报道,比特币闪电网络的开发者RustyRussell公布了8月份发现该网络漏洞的详细信息,并提出了解决方案。
Russell在披露的完整信息中写道:
移动支付平台 Cash App 已与比特币闪电网络集成:2月8日消息,Block 旗下移动支付平台 Cash App 周一宣布已完成与比特币闪电网络的集成。用户现在可以通过闪电网络进行即时和免费的比特币支付。闪电开发工具包(Lightning Development Kit:LDK)使比特币第二层协议的集成成为可能,该工具包是由 Block Spiral 旗下另一家公司开发的开源项目。Jack Dorsey 上周在与软件智能公司 MicroStrategy CEO Michael Saylor 的炉边谈话中表示,让 Cash App 通过 Spiral 集成闪电网络是他职业生涯中最自豪的时刻之一。(coindesk)[2022/2/8 9:37:26]
在支付通道打开前,闪电网络节点必须检查资金交易的输出是否符合标准。否则,攻击者就可以在不进行支付或没有全额支付的情况下打开支付通道。一旦交易达到最低深度,攻击者就可以从通道中转走资金。受害者只有在关闭支付通道时才会注意到自己的资金已经被转走了,但是再进行任何操作甚至是关闭交易都无法挽回损失。
闪电网络节点数量已达17495个:金色财经报道,据1ML.com数据,目前,支撑网络的节点数量达到17495个,相较30天前数据,环比上涨6.44%;通道数量为38694,相较30天前数据,环比上涨2.6%;闪电网络承载能力目前为1123.9BTC,约合5717.02万美元。[2021/3/8 18:26:04]
闪电网络是比特币的第二层支付协议,它支持比特币区块链上的超高速、低成本的交易。为了通过使用闪电网络发送交易,用户必须打开“支付通道”来发送和接收其他用户的资金。
公告 | Zap新功能Strike正在测试,将允许用户通过闪电网络用美元购买比特币:备受期待的Zap服务新增功能正在以一种新的形式推出,它将允许该钱包的用户通过闪电网络用美元购买比特币,并直接存入Zap钱包。该功能目前被称为Strike,与Olympus应该实现的功能相同,只是方式不同。有了Olympus,Zap用户将拥有一个闪电网支付渠道,无论他们通过这项服务购买多少比特币。通过Strike,Zap不会为每个用户立即将现金转换为比特币,而是为每个用户保持静态美元余额,并按交易为他们发送闪电支付。Zap创始人Jack Mallers解释,这个模型是托管的。Zap在开始测试Olympus Beta版,并在税务影响和用户体验方面遇到一些障碍后,决定推出这一模型。目前,该服务将从测试程序列表中每周滚动接收新用户。Mallers希望到2020年Q1结束时,Strike能准备好让公众充分参与。(Bitcoin Magazine)[2020/1/31]
如果节点没有对支付通道进行正确检查,那么攻击者就可以假装打开一个新的支付通道并发送虚假交易。在被后,用户会在不知道此前交易完全是虚假的情况下,向攻击者发送资金。目前尚不清楚有多少用户成为此类攻击的受害者。
Russell表示,目前,所有主要的闪电网络客户端都已经升级并修复了这个漏洞。
当被问及为什么要花三个月的时间才向用户披露这个漏洞时,?ACINQ的首席执行官Pierre-MariePadiou表示,开发人员必须谨慎处理这类问题。
Padio说:
如果公布这一漏洞的详细信息,那么它就会变得非常容易被人利用。三个月的时间并不长,因为你必须给用户足够长的时间来更新自己的客户端,而且很多用户都不会进行更新。
他补充说,在完全确定没有用户处于危险之前,闪电网络的开发人员不想冒险暴露这个漏洞:
问题总会出现的。即使在比特币协议上,也存在漏洞。最重要的是如何以最佳方式来处理这些问题,从而保护用户的资金安全。
针对此漏洞的解决方案
Russel还对上述问题提出了解决方案。一旦节点看到新的支付通道,它就“必须要检查‘funding_created’是否为资金的交易输出,并显示‘open_channel’中的金额。”
该文件还警告说,闪电网络客户端c-lightning的0.7.1及以上版本将正确执行该过程,并敦促用户对其旧版本的客户端进行升级。
9月10日,总部位于伦敦的初创公司LightningLabs和ACINQ的首席技术官Osuntokun也表示他们发现了该漏洞被利用的实例。为了避免资金损失的风险,Osuntokun强烈建议用户更新闪电网络客户端的版本。受影响的版本包括?LND的0.7及以下版本,c-lightning的?0.7及以下版本,éclair的0.3及以下版本。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。