Giám đốc Công nghệ của Lightning Labs giảm thiểu lo ngại về vấn đề bảo mật của node, chỉ ra sự xâm nhập của người dùng
Olaoluwa Osuntokun từ Lightning Labs cho rằng lỗ hổng bảo mật được báo cáo trong các Lightning Nodes có thể do máy tính của người dùng bị xâm nhập thay vì lỗ hổng trong hệ thống.
Giám đốc công nghệ của Lightning Labs, công ty đứng sau mạng lưới mở rộng Bitcoin, đã giảm thiểu mối lo ngại về một lỗ hổng bảo mật có thể cho phép kẻ tấn công rút tiền từ các Lightning Nodes.
"Dựa trên thông tin chúng tôi đã nhận được cho đến nay, có vẻ như đây là trường hợp máy tính của người dùng bị xâm nhập," Giám đốc công nghệ của Lightning Labs, Olaoluwa Osuntokun, cho biết sau khi phát hiện ra vấn đề.
Đồng sáng lập Satoshi Labs, Pavol Rusnak, đã báo cáo vấn đề trong một bài viết gây lo ngại, cảnh báo người dùng của Lightning Network Daemon (LND) phiên bản cũ hơn 0.18.5 và/hoặc Lightning Terminal phiên bản cũ hơn 0.14.1 nên nâng cấp ngay lập tức, tuyên bố, "Kẻ trộm đang rút tiền bằng cách sử dụng các lỗ hổng đã được khắc phục trong các bản phát hành này."
Nguồn: Olaoluwa Osuntokun
Tuy nhiên, Osuntokun đã làm rõ rằng vấn đề không có vẻ như xuất phát từ lỗi trong LND, một thực hiện đầy đủ của một node mạng Lightning, mà là từ các máy tính của người dùng bị xâm nhập.
Lightning Labs và Osuntokun đã được liên hệ để có thêm chi tiết nhưng chưa có phản hồi.
Mạng Lightning đóng vai trò là giải pháp mở rộng lớp-2 của Bitcoin, hiện đang nắm giữ sức chứa 5,145 BTC, có giá trị khoảng 500 triệu đô la theo giá hiện tại.
Mối đe dọa tiềm ẩn về việc trích xuất khóa riêng
Chỉ một tuần trước đó, một thành viên khác của cộng đồng Bitcoin đã nêu bật một lỗ hổng tiềm ẩn khác ảnh hưởng đến mạng lưới Bitcoin, được ghi nhận trên GitHub.
Báo cáo trên GitHub đã nêu bật một lỗ hổng quan trọng trong việc thực hiện chữ ký ECDSA (Thuật toán chữ ký số đường cong elliptic), có thể tiết lộ khóa riêng.
Thư viện elliptic, một gói JavaScript được sử dụng cho các hoạt động mật mã đường cong elliptic trong Bitcoin, có thể đã gây ra việc sử dụng lại nonces, là các số ngẫu nhiên sử dụng một lần cho chữ ký mật mã. Việc sử dụng lại cùng một nonce cho các thông điệp khác nhau có thể lý thuyết cho phép trích xuất toán học khóa riêng.
Cảnh báo bảo mật elliptic. Nguồn: GitHub
Về tác động tiềm ẩn đối với ví Bitcoin, các chuyên gia bảo mật từ PeckShield khuyên rằng "luôn nên cập nhật ví Bitcoin đang sử dụng và đảm bảo bất kỳ gói elliptic dễ bị tổn thương nào được vá hoặc nâng cấp."
Trong khi đó, đội ngũ Security Alliance lưu ý rằng "các ví sẽ vẫn an toàn nếu tuân thủ nghiêm ngặt các giao thức đúng, đảm bảo rằng nonces được suy ra một cách xác định từ thông điệp đã được băm, việc chuyển đổi từ đầu vào sang byte là chính xác, và không cho phép tiêm nonce tùy chỉnh."
Theo Cointelegraph
Tin khác
