Ошибка, обнаруженная в сети Lightning Network в июне 2019 г., которая позволяла тратить "молниеносные" биткоины, не подкрепленные фактическими биткоинами, была официально исправлена, как сообщается в новом отчёте разработчиков, опубликованном в пятницу, 27 сентября.

Эта проблема была исправлена, но контроль за безопасностью ставит под сомнение и без того тщательно изученный протокол, и то, действительно ли возможно безопасное использование Lightning Network в ближайшее время.

Баг Lightning Network

27 июня 2019 г. разработчик Расти Рассел обнаружил уязвимость системы безопасности при выполнении тестов сети. Так как ошибка не была обнаружена злоумышленниками независимыми друг от друга, маловероятно, что был причинен значительный ущерб, хотя убедительные свидетельства действительно показали, что по крайней мере одна эксплуатация уязвимости произошла спорадическим образом 7 сентября 2019 г.

Было сделано тайное исправление, однако проблема была снова выявлена в августе. После того, как большинство пользователей обновились, произошло окончательное исправление, завершившееся публикацией полного отчёта 27 сентября.

В отчёте говорится:

"Узел сети, принимающий канал, должен проверить, что вывод транзакции действительно открывает предложенный канал. В противном случае злоумышленник может потребовать открыть канал, но либо не заплатить партнёру, либо заплатить неполную сумму...
Реализации не всегда делают эту проверку."

К реализациям, которые были уязвимы, относятся:
- c-lightning v.0.7.0 и ниже,
- lnd v.0.7.0 и ниже,
- и eclair v.0.3.0 и ниже.

Некоторые реализации проверяют только частичные данные, необходимые для подтверждения подлинности транзакции.
В отчёте сказано:

«Однако это НЕ требовало, чтобы получатель действительно проверял, что транзакция является той, которую обещал спонсор: и сумма, и фактический ключ сценария».

Похоже, что сейчас все системы возвращаются в рабочее состояние, и в отчёте об ошибке поясняется, что обнаружение бага, несмотря на все проблемы, которые оно вызвало, «дало возможность протестировать коммуникации и методы обновления по всей экосистеме Lightning Network».

Скептицизм остаётся

Несмотря на то, что этот недостаток безопасности был устранён относительно эффективно, и ни одна сеть не выходит за рамки критического анализа, многие в криптопространстве всё ещё не согласны с протоколом оплаты второго уровня по разным причинам. Обращаясь к этому последнему пункту в Twitter, Питер Ризун из Bitcoin Unlimited написал:

"Люди неосознанно принимали биткоины Lightning, которые на самом деле не были подкреплены настоящими биткоинами. Эти люди даже не узнали бы о подвохе, пока не пошли бы забрать свои монеты из сети Lightning (то есть закрыть канал).
Многие люди указывали на то, что баланс LN-каналов был претензией на реальные биткоины, а не на настоящие биткоины, и что подобные проблемы могут возникнуть.
Сторонники LN ответили, что невозможно восстановить баланс каналов.
Сторонники LN были неправы."

Многие критически относятся к доверию, которое требуется для использования сети, и к необходимости оставаться в сети, поскольку это в конечном итоге решение вне сети, требующее посредников, которые также находятся в сети одновременно, и у которых достаточно средств для перемещения желаемой транзакции пользователя. Спорные идеи, такие как "сторожевые башни", также не помогли людям довести LN до оптимума, поскольку они обладают потенциалом, которым обладают органы надзора, такие как полиция и правительства, что ведёт к установлению неоправданного влияния и подавления ликвидности. Для тех, кто относительно новичок в LN и не осведомлён в некоторых потенциальных препятствиях, которые эта сеть представляет, Ризун также разместил понятное пояснение. Если Lightning Network когда-нибудь выйдет из экспериментальной стадии, тогда рынок сможет полностью её использовать. Проблема в том, что некоторые всё ещё задаются вопросом, наступит ли вообще когда-нибудь этот знаменательный день.

Источник (англ.): Bitcoin.com Hidden Lightning Network Bug Allowed Spending of 'Fake' Bitcoins.