Cointelegraph’ın haberine göre Bitcoin Lightning Network geliştiricisi Rusty Russel, ağda Ağustos’ta keşfedilen güvenlik açığının tam açıklamasını bir çözümle beraber paylaştı.
Russel yaptığı açıklamalarda, para yatırma kanallarının açılması sırasında güvenlik açığının ortaya çıktığına dikkat çekti. Russel’ın tanımladığı işlem alıcının, para yatıran tarafından gönderilen miktarın kontrolünü ve gerçek scriptpubkey olup olmadığının sağlamasının yapılmasını gerektirmiyor.
Scriptpubkey, bir alıcının Bitcoin’lerini harcaması için gözlenmesi gereken özel koşulları gerektiren bir çıktı işlemi komut dosyası olarak karşımıza çıkar. Konuyla ilgili yapılan açıklamalarda şu ifadeler kullanılıyor:
Bir kanalı kabul eden bir yıldırım node’u, para yatırma işlemi çıktısının gerçekten önerilen kanalı açıp açmadığını kontrol etmelidir. Aksi halde bir saldırgan bir kanal açma talebinde bulunabilir. Ancak karşısındaki kişiye ödeme yapmaz ya da tam tutarı ödemez. Bu işlem minimum derinliğe ulaştığında ise kanaldan fon harcayabilir. Kurban, yalnızca kanalı kapatmaya çalıştığında ve sahip olduğu taahhüt ya da karşılıklı işlemlerin hiçbiri geçerli olmadığında durumu fark edecektir.
Muhtemel Çözüm
Öte ayndan Russel yukarıda belirtilen soruna bir çözüm de önerdi. Para yatırma işlemi başladığında taraflar “funding_created’de açıklanan hedefin open_channel’da açıklanan miktarda bir para yatırma işlemi çıktısı olduğunu kontrol etmelidir.”
Bunun yanında Russel, c-lightning 0.7.1 versiyonu konusunda kullanıcıları uyarıyor ve Lightning Nodes sürümünü sürekli güncel tutmaya çağırıyor.
Bunların yanında 10 Eylül’de, LN odaklı STO’lardan Olaoluwa Osuntokun, Lightning Labs ve ACINQ’daki girişimcilerin de bu güvenlik açığından yararlanıldığını açıklamıştı. Para kaybetme riskini önlemek için Osuntokun, kullanıcılara LN sürümlerini güncellemelerini şiddetle tavsiye etmişti.
Russel’ın daha önce güvenlik açığıyla ilgili paylaştığı bilgilere buradan ulaşabilirsiniz…
