Detalhes da vulnerabilidade de segurança da Lightning Network foram divulgados

Como publicamos aqui no início de setembro, detalhes completos sobre a vulnerabilidade de segurança encontrada na Lightning Network do Bitcoin no final do mês passado foram publicados na sexta-feira pelo desenvolvedor de software Rusty Russel.

De acordo com a divulgação, a vulnerabilidade estava no processo de criação e financiamento de um canal da Lightning Network. Quando um canal é criado, o receptor do canal não era obrigado a verificar a quantia da saída da transação de financiamento ou a scriptpubkey, um script que garante que certas condições sejam atendidas antes que uma saída seja gasta.

Como o protocolo Lightning Network não exige essa verificação, um invasor “pode ​​reivindicar a abertura de um canal, mas não paga ao par ou não paga o valor total”, afirma a Russel em seu relatório. Isso permite que um invasor gaste os fundos em um canal criado com uma vítima, sem alertá-la. Somente quando a vítima fecha o canal com o invasor é que eles percebem que nenhuma das transações confirmadas entre os canais era válida.

Embora os desenvolvedores da Lightning Network tenham enviado atualizações para essa vulnerabilidade, implementações mais antigas ainda são afetadas. Os usuários são aconselhados a atualizar as seguintes versões afetadas do Lightning Node:

– nós LND versão 0.7 e abaixo
– nós c-lightning versão 0.7 e abaixo
– nós eclair versão 0.3 e abaixo

Os desenvolvedores também criaram uma ferramenta para os usuários verificarem se seus nós LND Lightning foram afetados. Em meados de setembro, os desenvolvedores alertaram que a vulnerabilidade foi explorada. O tamanho dessa exploração, no entanto, não foi divulgado.