В июне была обнаружена ошибка в Lightning Network, которая позволяла проводить транзакции, не подкрепляя их требуемой суммой биткоинов. В своем новом отчете разработчики протокола сообщили, что эта уязвимость устранена в новых версиях программного обеспечения.
27 июня разработчик Расти Рассел обнаружил уязвимость во время проведения тестов в сети. Специалисты считают, что вероятность того, что был нанесен серьезный ущерб, крайне мала, однако, известно как минимум об одном случае использования этой уязвимости. Рассел сообщил о проблемах в безопасности в конце сентября, настоятельно порекомендовав пользователям обновиться до версий до Eclair 0.3.1 или Eclair Mobile 0.4.7+ и пообещал отчитаться о проблеме 27 сентября, что он и сделал.
В отчете говорится: «Нода Lightning, принимающая канал, должна проверить, что исходящие данные финансовой транзакции действительно соответствуют предлагаемому открытому каналу. В противном случае злоумышленник может заявить об открытии канала, не передав оплату получателю или передав неполную сумму».
К скомпрометированным версиям относятся c-lightning V.0.7.0 и более ранние, lnd V.0.7.0 и более ранние, а также eclair V.0.3.0 и более ранние. Некоторые версии проверяют только часть данных, необходимых для подтверждения подлинности транзакции.
Разработчики внесли необходимые изменения в программное обеспечение и придерживаются мнения, что, несмотря на проблемы, которые вызвала обнаруженная уязвимость, эта ситуация «дала возможность протестировать коммуникации и методы обновления всей экосистемы Lightning». Разработчики также представили инструмент, с помощью которого пользователи могут самостоятельно проверить, затрагивала ли эта атака их ноды Lightning.
