Bitcoin Lightning: Sicherheitslücke bereits ausgenutzt

Node-Betreiber im Bitcoin Lightning Network sind dazu angehalten, ihre Software schnellstmöglich auf den neuesten Stand zu bringen. Eine Verwundbarkeit in diversen Implementierungen gefährdet Funds – und wurde offenbar bereits ausgenutzt.

Christopher Klee
Teilen

Beitragsbild: Shutterstock

Entwickler des Bitcoin Lightning Networks warnen vor einer Sicherheitslücke, die zum Verlust von Bitcoin führen kann. Die Schwachstelle hat der Linux-Entwickler Rusty Russel am 30. August entdeckt. Sie befindet sich in mehreren Implementierungen der Software, die für das Betreiben von Netzwerkknoten (Nodes) in Bitcoin Lightning benötigt wird. Node-Betreiber waren dazu angehalten, ihre Software schnellstmöglich einem Update zu unterziehen:

In verschiedenen Lightning-Projekten wurden Sicherheitsprobleme festgestellt, die zu Geldverlusten führen können. Alle Details werden in vier Wochen (27.09.2019) veröffentlicht; bitte rechtzeitig aktualisieren.

Am 10. September hat Olaloluwa Osuntokun, CTO bei Lightning Labs, bestätigt, dass die Schwachstelle bereits ausgenutzt wurde.

Wir haben bestätigte Fälle, in denen [die Schwachstelle] ausgenutzt wurde. Wenn Sie nicht einer dieser Implementierungen verwenden (diese Versionen sind vollständig gepatcht), dann müssen Sie jetzt upgraden, um das Risiko eines Geldverlustes zu vermeiden.

Bei der von Osuntokun angehängten Liste mit sicheren Versionen der Lightning Software gab es eine Veränderung im Vergleich zu Russels Angaben. Während Russel die Implementierung lnd v0.7 noch nicht zu den betroffenen Clients zählte, ist laut Osuntokun lnd erst ab Version 0.7.1 vor dem Exploit gefeit. Folgende Versionen sind nach dem aktuellen Stand sicher:

  • lnd v0.7.1 und neuer
  • c-lightning v0.7.1 und neuer
  • eclair v0.3.1 und neuer

Bitcoin Lightning: Wachstumsschmerzen in Kinderschuhen

Osuntokun nutzt den Anlass ferner, um die Community daran zu erinnern, dass sich das Bitcoin Lightning Network nach wie vor noch in einer Frühphase befindet:

Wir möchten die Community auch daran erinnern, dass wir noch immer Limits im Netzwerk haben, um einen weit verbreiteten Kapitalverlust zu mildern, und bitte bedenkt das, wenn ihr in diesem frühen Stadium Geld in das Netzwerk investiert.

Der Twitter Account von Lightning Labs hat diesen Appell aufgegriffen. Darüber hinaus mahnt @lightning die Community an, kein Geld im Bitcoin Lightning Network zu verwahren, auf das man nicht verzichten kann:

Es wird Bugs geben. Leg nicht mehr Geld auf Lightning ab, als du bereit bist zu verlieren!

Zu der Höhe der Verluste gibt es indessen noch keine Angaben. Die für Ende September angekündigte Veröffentlichung sämtlicher Details zur Sicherheitslücke könnte – oder vielmehr: sollte – hier Klarheit schaffen.

Du willst Arbitrum (ARB) kaufen oder verkaufen?
Wir zeigen dir in unserem Leitfaden, wie und wo du einfach und seriös echte Arbitrum (ARB) kaufen kannst.
Arbitrum kaufen