LND洋葱炸弹：另一个闪电网络漏洞使用户的比特币面临风险

比特币最受欢迎的第二层闪电网络有另一个漏洞，将用户的资金置于风险之中。Lightning通过允许用户加入支付渠道，在区块链外进行类似“条形标签”的交易，比常规的比特币交易规模更快、更便宜。

通过在这些支付渠道中记下比特币余额的增减，Lightning用户比支付矿工更快、更便宜地“发送”和“接收”比特币，以实现区块链上交易的完全安全和去中心化。

然而，这种速度和可负担性之间的权衡在本周的披露中显而易见：安全性。

LND是Lightning四个最受欢迎的实现之一，目前版本为18，但已披露一个影响17之前版本的漏洞。（作为预防措施，Lightning开发人员等了大约九个月才披露该漏洞。）

他们将这种虫子命名为LND洋葱炸弹。

LND洋葱炸弹

该漏洞是典型的拒绝服务（DoS）攻击。具体来说，攻击者可以用洋葱数据包淹没LND节点，耗尽节点的所有RAM并使节点离线。

更糟糕的是，该攻击是基于Tor/Onion的，因此默认情况下是私有的。在整个漫长的袭击过程中，袭击者的身份一直保密，这使得袭击变得困难。

阅读更多：批评者称“bug”比特币闪电网络正在慢慢消亡

离线对普通的比特币完整节点来说没有问题，但对Lightning节点来说是个坏消息。离线闪电节点可能无法验证或接收付款，无法监视网络是否存在欺诈行为，并且容易受到强制关闭渠道的影响，从而导致交易对手窃取支付渠道中的所有剩余资金。

如果攻击者继续对受害节点运营商进行DoS攻击足够长的时间，则广播公正交易的时间段将到期，并不可撤销地将被盗赏金的所有权转移给攻击者。

一个负责任的Lightning漏洞披露

到目前为止，还没有关于这次所谓的“LND洋葱炸弹”袭击中资金被盗的主要报告。一名开发人员于2023年6月20日向Lightning Labs负责任地披露了这一信息，并于同年10月3日通过Lightning节点软件版本LND 17.0修补了该漏洞。

两天前，也就是补丁发布九个月后，开发者公开披露了这个问题。

这已经不是Lightning网络第一次出现将用户资金置于危险境地的严重漏洞了。多年来，黑客在Lightning实现中发现了干扰攻击、替换循环攻击、BTCD库漏洞、未分配的支付路线、LNTXbot漏洞和各种其他漏洞。

有线索吗？给我们发一封电子邮件或质子邮件。欲了解更多信息，请在X、Instagram、Bluesky和谷歌新闻上关注我们，或订阅我们的YouTube频道。