Identifican vulnerabilidad crítica de Lightning Network de Bitcoin

Según una publicación del blog de Lightning Labs, muchas versiones del software Lightning Node no han realizado verificaciones cruciales sobre la validez de un canal antes de aceptarlo. Sin estos controles, los nodos han sido vulnerables a una vulnerabilidad que podría perder fondos. Hay dos comprobaciones que un nodo debe hacer en un canal entrante: (1) que el punto de salida (ID de transacción y par de índice) coincida con las referencias de transacción de compromiso firmadas de entrada y (2) que el valor creado de la salida coincida con el tamaño esperado del canal. Según los informes, el desarrollador de Lightning, Rusty Russel, identificó que muchas implementaciones del software Lightning Node no realizaban una o ambas verificaciones. De las dos, la primera es más peligrosa ya que está completamente libre de costes financieros para que un atacante los explote. Sin embargo, esto ha sido parcheado en gran medida en implementaciones después de v.0.6.0. Este último, aunque más costoso para el atacante, solo fue parcheado parcialmente en v.0.6.0 y completamente parcheado en el lanzamiento de v.0.7.1 el 30 de julio. Los autores de la publicación del blog Olaoluwa Osuntokun y Conner Fromknecht explicaron cómo un actor malintencionado podría aprovechar la vulnerabilidad. Dicen que si un nodo acepta un canal no válido, la pérdida de fondos podría ocurrir si el nodo reenvía cualquier pago que se originó en ese canal. Si esto sucediera, el nodo víctima (que aceptó el canal) habría perdido una cantidad aproximadamente igual a la cantidad de los HTLC reenviados. Pierde este dinero porque no puede cerrar el canal no válido. Según el desarrollador y defensor de Bitcoin Udi Wertheimer es probable que pocas personas se hayan visto afectadas por la posible vulnerabilidad. https://twitter.com/udiWertheimer/status/1177624554593800193 La publicación de Lightning Labs también sugiere que no se ha explotado con éxito la vulnerabilidad. Sin embargo, sus autores proporcionan una herramienta para que los operadores de nodos prueben si su nodo ha sido seleccionado. Los autores también aprovechan la oportunidad para recordar a los usuarios de Lightning Network que el software aún está en pañales. Destacan la importancia de cumplir con los límites recomendados en los canales y actualizar el software a la última versión con frecuencia. Como parte de su compromiso de mejorar constantemente la seguridad y la funcionalidad de Lightning Network, los desarrolladores también han anunciado la creación de un programa formal de recompensas de errores. Sin embargo, seguimos pendientes de obtener más detalles sobre esto. ¿Te sorprende que Lightning Network esté sufriendo tantos problemas? ¿Crees que tendrá más en el futuro? Deja tus comentarios a continuación.

---

Imágenes cortesía de Shutterstock y Twitter.