Популярная платежная сеть, работающая на основе блокчейна биткоина, страдала от давней уязвимости в коде - злоумышленники могли тратить деньги пользователей.
Первоначально 30 августа разработчик Расти Рассел, работающий с сетью биткоина, впервые объявил об уязвимости широкой общественности, но в пятницу было опубликовано полное раскрытие, в котором подробно описывается, как эта уязвимость может быть использована злоумышленником. Рассел написал в материале, посвященном раскрытию подробностей:
Злоумышленник может претендовать на открытие канала [оплаты Lightning], но либо не заплатить партнеру, либо не заплатить всю сумму.
Сеть Lightning - это платежный протокол вторго уровня, позволяющий осуществлять сверхбыстрые и практически бесплатные транзакции на основе блокчейна биткоина. Чтобы пользователи могли отправлять транзакции через эту сеть, они должны открыть так называемые «каналы платежей» для отправки и получения средств от других пользователей Lightning.
Без надлежащих проверок злоумышленник может сделать вид, что открывает новый канал платежей и отправляет поддельные транзакции. Будучи обманутым, честный пользователь может затем отправить злоумышленнику реальные деньги, не зная, что предыдущие транзакции были полностью искусственными. Неясно, сколько пользователей стали жертвами таких атак.
По словам Рассела, все основные клиенты программного обеспечения Lightning были обновлены для устранения этой уязвимости.
Когда его спросили, почему потребовалось три месяца, чтобы уязвимость была раскрыта пользователям, Пьер-Мари Падиу - генеральный директор компании, поддерживающей одну из трех самых популярных реализаций Lightning, - сказал, что «разработчики должны быть осторожны», пояснив:
Проблема с этой уязвимостью в том, что, как только вы узнаете об этом, она кажется такой очевидной. Три месяца - это не долго. Это довольно короткое время, потому что вы должны дать пользователям время, необходимое для обновления. Многие пользователи этого не делают.
«Разработчики Lightning, - добавил он, - не хотели рисковать, раскрывая уязвимость, пока не были абсолютно уверены, что ни один пользователь не был в опасности». Падиу подытожил:
Всегда есть проблемы. Даже в протоколе биткоина были ошибки. Всегда будут ошибки. Самое главное, как справиться с этим наилучшим образом, чтобы защитить пользователей.