Lightning Network Geliştiricisi Ağdaki Açığı Açıkladı

Bitcoin (BTC) Lightning Network (LN) geliştiricisi Rusty Russel, bir çözümle birlikte ağın Ağustos ayında keşfedilen güvenlik açığının açıklamasını yayınladı.

Russel, güvenlik açığının ödeme kanallarının açılması sırasında ortaya çıktığına dikkat çekti. Açıklanan süreç alıcıların fon gönderen tarafından sağlanan miktar ve ScriptPubKey açısından doğru işlem olup olmadığını kontrol etmelerini gerektirmiyor. 

ScriptPubKey, alıcının Bitcoin'lerini harcaması için karşılanması gereken koşulları belirleyen kilitleme komut dosyasıdır. Dosyadaki açıklama şu şekilde:

“Bir kanalı kabul eden bir lightning düğümü, fonlama işlemi çıktısının gerçekten önerilen kanalı açıp açmadığını kontrol etmelidir. Aksi takdirde bir saldırgan bir kanal açma talebinde bulunabilir, ancak karşı tarafa ödeme yapmayabilir veya eksik ödeme yapabilir. Bu işlem minimum derinliğe ulaştığında, kanaldan fon harcayabilir. Mağdur taraf durumu yalnızca kanalı kapatmaya çalıştığında ve sahip olduğu taahhüt veya karşılıklı işlemlerin hiçbiri geçerli olmadığında fark edecektir.”

Olası bir çözüm

Russel bahsedilen soruna bir de çözüm önerdi. Finansman işlemi görüldüğünde taraflar “'funding_created' [1] bölümünde açıklanan çıktının 'open_channel' [3] bölümünde açıklanan miktarla bir finansman işlemi çıktısı [2] olduğunu kontrol etmeli.”

Dosya 0.7.1 ve üstü c-lightning sürümlerinin işlemi sorunsuz gerçekleştirdiğini belirterek kullanıcılara Lightning Düğümlerinin eski sürümlerini güncellemeleri uyarısında bulunuyor.

LN odaklı Lightning Labs ve ACINQ girişimlerinin CEO'su Olaoluwa Osuntokun da 10 Eylül’de güvenlik açığının kötüye kullanıldığı durumlar tespit ettiğini iddia etmişti. Osuntokun para kaybetme riskini önlemek için kullanıcılara LN sürümlerini acilen güncellemelerini tavsiye etti. Osuntokun'un açıklamasına göre etkilenen sürümler versiyon 0.7 ve önceki LND düğümleri, versiyon 0.7 ve önceki c-lightning düğümleri ve versiyon 0.3 ve önceki eclair düğümleri.

Bitcoin'in LN düğümlerinin sayısı 26 Eylül'de ilk kez 10.000'e ulaştı

Cointelegraph'ın daha önce bildirdiği üzere Andreas Antonopoulos, René Pickhardt ve Lightning Labs CTO'su Olaoluwa Osuntokun ile ortak yazdığı “Mastering Lightning Network” kitabını duyurmuştu.