" Главный технический директор Lightning Labs, компании, стоящей за сетью масштабирования Биткоин, преуменьшил значение предполагаемой новой ошибки, которая якобы может позволить эксплуататорам выводить средства из узлов Lightning.
«На основании предоставленной нам на данный момент информации, похоже, что это был случай скомпрометированной машины пользователя», — сказал 19 февраля главный технический директор Lightning Labs Олаолува Осунтокун после обнаружения уязвимости.
Соучредитель Satoshi Labs Павол Руснак сообщил об ошибке в тревожном сообщении X 19 февраля, предупредив пользователей, использующих Lightning Network Daemon (LND) старше версии 0.18.5 и/или Lightning Terminal старше 0.14.1, «прекратить то, что вы делаете, и немедленно обновиться», а затем добавил:
«Воры выкачивают средства, используя эксплоиты, которые были исправлены в новых выпусках».
Источник: Олаолува Осунтокун.
Однако Осунтокун сказал, что ошибка, по всей видимости, не связана с проблемой LND, которая представляет собой полную реализацию узла Lightning Network, а возникла из-за взлома компьютера пользователя.
Lightning Network — это решение масштабирования Layer 2 для сети Bitcoin, текущая емкость которой составляет 5145 BTC, что составляет около 500 миллионов долларов по текущим ценам.
Угроза извлечения закрытого ключа
Всего неделю назад другой биткоинер предупредил о другой потенциальной уязвимости, влияющей на сеть Биткоин, которая была опубликована на GitHub 13 февраля.
Запись на GitHub предупреждала о критической слабости в реализации подписи ECDSA (алгоритм цифровой подписи на эллиптических кривых), которая может привести к раскрытию закрытого ключа.
Эллиптическая библиотека — это пакет JavaScript, используемый для операций криптографии на эллиптических кривых, используемых Bitcoin. Ошибка могла привести к повторному использованию одноразовых чисел, которые являются одноразовыми случайными числами для криптографических подписей. Если один и тот же одноразовый номер используется для подписи разных сообщений, то теоретически закрытый ключ можно извлечь математически.
Предупреждение о небезопасности пакета Elliptic. Источник: GitHub
На вопрос о потенциальном влиянии на кошельки Биткоин эксперты по безопасности из PeckShield сказали, что «всегда рекомендуется убедиться, что используемый биткоин-кошелек актуален, а уязвимый пакет Elliptic, если он используется, исправлен или обновлен».
Между тем, команда Security Alliance сообщила, что «кошельки будут в порядке, если они строго следуют правильным протоколам и «одноразовые коды выводятся детерминированно из хешированного сообщения, преобразование их входных данных в байты не является ошибочным, и они не допускают внедрение пользовательских одноразовых кодов».
