闪电网络的研发精英团队近日发布了该加密货币协议书和系统完成中的众多安全性漏洞详细信息,网络攻击利用这种漏洞可以根据阻拦智能合约来引起DoS 进攻或毁坏加密货币买卖。
漏洞详细信息
这种漏洞最开始是在2022年4月被Chaincode试验室的Antoine Riard发觉。发现后,Riard就将漏洞详细信息根据给了闪电网络(LND)精英团队及其c-lightning 和 Eclair 完成的开发人员。
CVE-2020-26895
因为区块链技术协议书必须解决钱财,因而引入了很多附加的安全防范措施,在其中一个理念便是"transaction standardness"(买卖规范化)。买卖规范化会在连接点的BTC的共识标准基本上申请强制执行一个防DoS 的标准。买卖规范化的可可塑性与此同时也有可能会引起对于加密货币协议书的进攻,例如使一切正常的合理买卖越来越失效。买卖规范化的面十分宽,一切规范化的不正确都能够引起闪电网络连接点资产的损害。这类漏洞可以引起资产网站被黑或变成为DoS 进攻的基本。
CVE-2020-26896
第二个漏洞容许网络攻击阻拦和盗取买卖彼此签字的hach時间锁住合同(Hashed Timelock Contract,HTLC)。HTLC是加密货币协议书应用的一个智能合约,在已知的时间周期内向型接受者给予确定买卖/付款的工作能力。没法合理地立即转化成HTLC会使买卖失效。
假如该漏洞被利用,初始的发件人会发觉买卖的信用卡账单,可是并没完成付款。根据利用该漏洞,网络攻击可以毁坏进行中的买卖,不回单开展付款。
这2个漏洞十分比较严重,由于闪电网络连接点频带联接是開放的,客户可以在没有通告随意连接点的情形下随意地获取资产。闪电网络连接点是热钱夹,因而漏洞怎样被利用就有可能会立即对受害人产生经济损失。
漏洞危害和补丁包
漏洞危害LND 0.11.0-beta 以前版本号。现阶段漏洞早已在lnd 0.11.0 及更高一些版本号中修补。因为编码是开放源码的,协议书也是公布运作的,因而漏洞的补丁包是和别的补丁包一起派发、隐敝开展的。
参照由来:
- https://www.bleepingcomputer.com/news/security/lightning-network-discloses-concerning-crypto-vulnerabilities
- https://gist.github.com/ariard/6bdeb995565d1cc292753e1ee4ae402d
- https://lists.linuxfoundation.org/pipermail/lightning-dev/2020-October/002855.html
- https://lists.linuxfoundation.org/pipermail/lightning-dev/2020-October/002857.html