Rusty Russell, desarrollador de la Red Lightning de Bitcoin, anunció hoy que la Red enfrenta actualmente algunos desafíos de seguridad que "podrían conducir a una pérdida de fondos". Se ha recomendado a los usuarios que actualicen a una versión más nueva de inmediato para evitar la pérdida de fondos.
Los usuarios deberían haber actualizado desde
Según la publicación del blog, se anunciarán más detalles sobre los problemas de seguridad dentro de cuatro semanas a partir de hoy, pero todos en la Red Lightning deberían haberse actualizado para entonces.
La publicación del blog dice: “ Se han encontrado problemas de seguridad en varios proyectos de iluminación que podrían causar la pérdida de fondos. Los detalles completos se darán a conocer en 4 semanas (2019-09-27), actualice mucho antes de eso. ”Un nuevo relámpago de red versión 0.72 'pre-aprobación de Nakamoto por Congreso de Estados Unidos', que supuestamente no contiene ninguna de estas vulnerabilidades fue lanzado en los 20 de agosto.
Los nodos afectados Nodos CVE son:
CVE-2019-12998 c-lightning <0.7.1
CVE 2019-12999 lnd <0.7
CVE-2019-13000 éclair <= 0.3
Una búsqueda rápida reveló que todos los CVE afectados han sido reservados. Uno de ellos lee:
“Este candidato ha sido reservado por una organización o individuo que lo usará cuando anuncie un nuevo problema de seguridad. Cuando el candidato haya sido publicado, se proporcionarán los detalles de este candidato "
Nadie parece estar seguro de qué está sucediendo exactamente con Lightning Network y qué tan comprometidos pueden estar los usuarios, ya que Russell dice que todos los detalles del ataque no se darán a conocer hasta el 27 de septiembre. Por ahora, se ha recomendado a todos los miembros de Lightning Network que actualicen a la versión 0.7.2 sin compromisos.
Algunos usuarios en Reddit y Twitter han sugerido que la razón detrás del 'secreto' circundante y de retener más información que la red parece estar haciendo, es asegurarse de que las personas no aprovechen o abusen de la vulnerabilidad.
La mayoría de las actualizaciones de seguridad generalmente vienen sin más información hasta un momento posterior, en otro para proporcionar a la red el tiempo suficiente para resolver el problema y al mismo tiempo ser transparente con los usuarios y mantenerlos fuera de peligro.
.