Независимый биткоин-разработчик Джуст Ягер описал уязвимость в платежной сети Lightning Network, из-за которой злоумышленники могут нарушить работу некоторых каналов.
Ягер указал, что атака может быть осуществлена через специализированные каналы wumbo, которые позволяют совершать крупные транзакции между взаимно согласованными сторонами. Канал wumbo убирает ограничение на количество биткоинов, которые могут храниться в обычном канале Lightning Network. Сейчас это ограничение равно примерно $1760. Он также удаляет ограничение на общий лимит одного перевода в $450.
1/ Lightning is great, but can't say it is battle-tested. If script kids would be interested, they could take down those shiny new 5 BTC #wumbo channels with negligible cost and no effort at all. pic.twitter.com/9PTkxfF042
— Joost Jager (@joostjgr) September 22, 2020
Ягер сказал, что wumbo-канал, независимо от его емкости, не может содержать более 483 хеш-кодов и контрактов блокировки по времени. Таким образом, злонамеренный субъект может отправить себе 483 микроплатежей и удерживать временные контракты, что выведет канал из строя на срок до двух недель. А это значит, все что биткоины в этом канале будут временно заблокированы. Обычные пользователи Lightning Network, отправляющие микроплатежи, не пострадают, но это отразится на коммерческих и корпоративных платежах. Например, каналы wumbo поддерживает криптобиржа Bitfinex.
Исследователь продемонстрировал, что для совершения такой атаки потребуются довольно небольшие затраты, в его случае это было 18 сатоши. Он переслал эту сумму 5 раз через три канала Bitfinex и OpenNodeCo и заблокировал средства в канале.
Ягер сказал, что для решения проблемы он запустил новый проект межсетевого экрана для узлов Lightning под названием Circuit Breaker и пригласил поучаствовать других разработчиков.