Разработчики Lightning Network подтвердили эксплуатацию выявленной уязвимости
Технический директор Lightning Labs и ACINQ Олаолува Осунтокун подтвердил случаи практической эксплуатации уязвимости в протоколе Lightning Network, о наличии которой стало известно в конце августа.
В сообщении на портале Linux Foundation Осунтокун отметил, что случаи эксплуатации уязвимости в базе данных Common Vulnerabilities and Exposures были действительно зафиксированы, и снова напомнил о необходимости обновления клиентов до актуальной версии.
Такое же напоминание сделали представители Lightning Labs. Уязвимыми считаются следующие релизы:
LND версии 0.7 и младше;
c-lightning версии 0.7 и младше;
eclair версии 0.3 и младше.
В то же время представители процессингового сервиса BTCPay Server отметили, что версия клиента 1.0.3.128 и старше уязвимости не подвержена, так как еще некоторое время назад была реализована поддержка LND 0.7.1 и c-lightning 0.7.2.
BTCPay Server instances running v1.0.3.128 and up, are not vulnerable as we bumped both LND (0.7.1) and c-lightning (v0.7.2 ) a while ago.
If you’re using Lightning and running an outdated versions, update your instance from Server Settings > Maintenance > Update. https://t.co/H3YkswEq8Z
— BTCPay Server (@BtcpayServer) September 10, 2019
Разработчики Lightning Labs также отметили, что не зря установили лимиты на суммы, которые можно вносить в платежные каналы.
«Баги будут. Не вносите в Lightning Network больше той суммы, которую вы готовы потерять».
This is also a great time to remind folks that we have limits in place to mitigate widespread funds loss at this early stage. There will be bugs.
Don’t put more money on Lightning than you’re willing to lose!
— Lightning Labs⚡️ (@lightning) September 10, 2019
Напомним, изначально об уязвимости, которая может привести к потере средств, сообщил разработчик Blockstream Расти Рассел. Представители указанных проектов в срочном порядке выпустили обновления своего ПО, настоятельно рекомендовав всем пользователям их установить.