Rusty Russel, sviluppatore del Lightning Network (LN) di Bitcoin (BTC), ha pubblicato una divulgazione completa sulla vulnerabilità del network scoperta ad agosto di quest'anno, seguita da una possibile soluzione.
Russel sostiene che queste vulnerabilità si manifestano durante l'apertura dei canali di finanziamento. Il processo non richiede infatti che i destinatari confermino che la transazione sia effettivamente quella promessa dal finanziatore, sia in termini di quantità che di scriptpubkey.
In particolare, Russel spiega:
"Un nodo Lightning che accetta un canale dovrebbe controllare che l'output della transazione di finanziamento apra effettivamente il canale proposto. In caso contrario, un utente malintenzionato può pretendere di aprire un canale ma non effettuare il proprio pagamento, oppure trasferire soltanto parte dei fondi.
[...]
La vittima si rende conto del misfatto soltanto quando prova a chiudere il canale, e nessuna transazione sul network viene considerata valida. "
Una possibile soluzione
Russel ha anche proposto una possibile soluzione al suddetto problema. Una volta visualizzata la transazione del finanziamento, gli utenti devono "devono controllare che l'outpoint descritto in 'funding_created' [1] sia un output della transazione di finanziamento [2] contenente la quantità descritta in 'open_channel' [3]."
L'uomo sottolinea infine che le versioni di C-Lightning 0.7.1 e superiori eseguono questo processo in maniera corretta. Per tale motivo, ha esortato gli utenti ad aggiornare quanto prima possibile i propri Lightning Node.
Questo mese, in seguito all'individuazione di questa grave falla nella sicurezza, l'azienda Lightning Labs ha ricordato alla comunità di Twitter che Lightning Network è una tecnologia ancora acerba:
"Questo è un ottimo momento per ricordare alla gente che sono presenti dei limiti proprio per limitare perdite di fondi su larga scala. La tecnologia non è ancora matura, verranno scoperti nuovi bug. Non collocate su Lightning più soldi di quanti ne siete disposti a perdere!"