El desarrollador de Lightning Network, Rusty Russell, reveló todos los detalles sobre la vulnerabilidad descubierta. El viernes, el desarrollador declaró que la mayoría de las implementaciones de LN disponibles se han parcheado. Pero algunas de las versiones anteriores de estas implementaciones no habían sido parcheadas, por lo que aconsejó a los usuarios de LN que actualizaran a sus clientes para una mejor protección.
«Un nodo lightning que acepte un canal debe verificar que la salida de la transacción de financiación de hecho abre el canal propuesto», Russell comenzó su explicación en una lista de correo disponible en el servidor de Linux Foundation.
«De lo contrario, un atacante puede reclamar abrir un canal pero no pagarle al igual o no pagar el monto total. Una vez que la transacción alcanza la profundidad mínima, puede gastar fondos del canal. La víctima solo se dará cuenta cuando intente cerrar el canal y ninguno de los compromisos o transacciones de cierre mutuo que tenga sean válidos ”.
Lo que esto significa es que si usted es el remitente de los fondos, posiblemente podría duplicar el receptor de los fondos. falsificando las firmas haciendo creer al receptor que las transacciones se habían firmado mutuamente.
A principios de este mes, el CTO de Lightning Labs, Olaoluwa Osuntokun, publicó un informe que fue corroborado por el desarrollador de LN ACINQ diciendo que la vulnerabilidad en realidad fue explotada.
«Hemos confirmado casos en los que se explota la [capacidad] vuln en la naturaleza, si aún no ha actualizado, ¡actualice inmediatamente!», Informó Osuntokun.
En ese momento, los desarrolladores ya habían lanzado un parche para las implementaciones de LN compatibles, ‘éclair’, ‘lnd’ y ‘c-lightning’. Se aconseja a los usuarios que actualicen sus nodos a las versiones v0.7.1 y superiores para las dos últimas implementaciones mientras que aquellos que usan éclair deben actualizar a v0.3.1 y superior.
Vale la pena señalar que Russell descubrió la vulnerabilidad el 27 de junio, pero tardó tres meses en revelar los detalles. Al comentar por qué tardó tanto tiempo en informarse al público, el CEO de ACINQ, Pierre-Marie Padiou, explicó que los desarrolladores tenían que ser cautelosos para proteger a la mayoría de los usuarios.
Exponer el riesgo al público antes de parchear las implementaciones habría expuesto a todos los usuarios al riesgo de perder su dinero, ya que no solo los buenos sino también los malos sabrían sobre la vulnerabilidad.
«El problema con esta vulnerabilidad es que una vez que lo sabes, parece tan obvio», dijo. “Tres meses no es mucho tiempo. Es un tiempo bastante corto porque debe dar a los usuarios el tiempo necesario para actualizar. … Muchos usuarios no lo hacen «.
