Головний технічний директор Lightning Labs применшує загрозу нового багу
Головний технічний директор Lightning Labs, компанії, що стоїть за мережею масштабування Bitcoin, спростував небезпеку нібито нового багу, який міг би дозволити зловмисникам вивести кошти з вузлів Lightning.
«Виходячи з інформації, яку ми наразі отримали, це виглядає як випадок компрометації машини користувача», – заявив головний технічний директор Lightning Labs Олаолу Осунтокун 19 лютого після виявлення вразливості.
Співзасновник Satoshi Labs Павел Руснак повідомив про баг у тривожному дописі в соціальній мережі X 19 лютого, закликаючи користувачів, які працюють із Lightning Network Daemon (LND) версій, старіших за 0.18.5, або Lightning Terminal, старіших за 0.14.1, «негайно припинити роботу та оновитися». Він додав: «Злодії виводять кошти, використовуючи експлойти, які було виправлено в цих версіях».
Однак Осунтокун заявив, що баг, схоже, не є проблемою LND, який є повною реалізацією вузла мережі Lightning, а натомість виник через компрометацію машини користувача.
CryptoAcademy звернулися до Осунтокуна та Lightning Labs за додатковою інформацією, але поки не отримали швидкої відповіді.
Мережа Lightning є рішенням для масштабування Bitcoin рівня 2, яка наразі має ємність у 5,145 BTC, що еквівалентно приблизно $500 мільйонам за поточними цінами.
Загроза вилучення приватних ключів
Лише тиждень тому інший користувач Bitcoin застеріг про ще одну потенційну вразливість, яка впливає на мережу Bitcoin. Це попередження було опубліковано на GitHub 13 лютого.
Запис на GitHub попередив про критичну слабкість у реалізації ECDSA (алгоритму цифрових підписів на основі еліптичних кривих), яка могла б призвести до витоку приватних ключів.
Бібліотека elliptic є пакетом JavaScript, який використовується для операцій криптографії з еліптичними кривими, застосовуваними в Bitcoin. Баг міг призвести до повторного використання випадкових чисел (nonce), які мають використовуватись лише раз для криптографічних підписів. Якщо один і той самий nonce використовується для підпису різних повідомлень, в теорії можна математично витягти приватний ключ.
Коли експертів з безпеки PeckShield запитали про можливий вплив на Bitcoin-гаманці, вони повідомили CryptoAcademy: «Ми завжди рекомендуємо перевіряти, чи гаманці Bitcoin оновлені, а вразлива бібліотека elliptic, якщо використовується, виправлена або оновлена».
Тим часом команда Security Alliance додала, що «гаманці будуть у безпеці, якщо вони суворо дотримуються правильних протоколів і nonces обчислюються детерміністично на основі хешованого повідомлення, їх конверсія в байти виконана без помилок, і вони не допускають введення нестандартних nonce».
“`
Цей переклад є максимально точним і структурованим з урахуванням оригінальних змісту та форматування, адаптований для україномовної аудиторії.
