闪电网络是一种运行在基于区块链的加密货币(如比特币和以太坊)上的支付协议,旨在加快区块链交易的速度。据闪电网络官网介绍,使用闪电网络进行区块链交易无需担心区块的确认时间,支付速度在毫秒到秒级。闪电网络的开发团队最近公布了加密货币协议和软件实现中的多个安全漏洞的详细信息。攻击者可以利用这些漏洞触发DoS攻击或通过拦截智能合约来破坏加密货币交易。漏洞详情这些漏洞是今年4月由ChaincodeLabs的AntoineRiard首次发现的。发现后,Riard将漏洞的详细信息传递给了闪电网络(LND)团队以及c-lightning和Eclair实现的开发人员。CVE-2020-26895由于区块链协议需要处理资金,因此引入了许多额外的安全措施,其中之一就是“交易标准”的概念。交易规范化基于节点的比特币共识规则执行反DoS规则。交易标准化的可塑性也可能导致对加密货币协议的攻击,例如使正常有效的交易无效。交易标准化的范围非常广泛,任何标准化错误都可能造成闪电网络节点资金的损失。此类漏洞可能导致资金被黑客攻击或成为DoS攻击的基础。CVE-2020-26896的第二个漏洞允许攻击者拦截和窃取交易双方签署的哈希时间锁合约(HTLC)。HTLC是加密货币协议使用的智能合约,为接收者提供在给定时间段内确认交易/付款的能力。未能及时正确生成HTLC会导致交易无效。如果此漏洞被利用,原始发件人将看到交易账单,但不会支付。通过利用该漏洞,攻击者可以中断正在进行的交易并且不支付账单。这两个漏洞非常严重,因为闪电网络节点通道连接是开放的,用户可以在不通知任何节点的情况下自由取款。闪电网络节点属于热钱包,漏洞利用方式可能直接给受害者带来财产损失。漏洞及补丁该漏洞影响LND0.11.0-beta之前的版本。目前该漏洞已在lnd0.11.0及之后版本修复。由于代码是开源的,协议是公开运行的,因此漏洞补丁与其他补丁一起分发并秘密执行。参考来源:https://www.bleepingcomputer.com/news/security/lightning-network-discloses-concerning-crypto-vulnerabilitieshttps://gist.github.com/ariard/6bdeb995565d1cc292753e1ee4ae402dhttps://lists.linuxfoundation.org/pipermail/lightning-dev/2020-October/002855.htmlhttps://lists.linuxfoundation.org/pipermail/lightning-dev/2020-October/002857.html【责任编辑:赵宁宁TEL:(010)68476606]
