发布日期：2023-09-13 02:46    点击次数：52

申博私网博彩游戏_

日前平博骰宝，诞生者Rusty Russell初次对外露馅了闪电辘集安全缺欠及对应科罚决议的工夫细节。

皇冠hg86a

以下是工夫细节内容：

皇冠客服飞机：@seo3687

接纳通谈的闪电辘集节点必须查验funding交游输出是否如实掀开了淡薄的通谈，不然膺惩者可宣称掀开一个通谈，然后要么不向平等节点（peer）支付，要么不进行全额支付。

一朝交游达到最小深度，其就可从通谈中支拨资金。惟有当受害者试图关闭通谈，以过甚领有的任何得意或相互成交交游都无效时，他们才会邋遢到这种坏心行径。

而闪电辘集客户端并不一定会实际这种查验操作：

金沙厅菜单抖音直播小皇冠

c-lightning: v0.7.1以及更高版块的客户法例确地作念到了这极少，而夙昔版块的c-lightning客户端却没法办到。(CVE-2019-12998) 通顺平等节点，并用任何交游id宣称掀开一个通谈，就可期骗这种缺欠。 lnd: v0.7.1及更高版块的客户端科罚了这个问题，但夙昔版块的lnd莫得查验数目。v0.7.0及更高版块客户法例确查验了scriptpubkey，v0.6.x版块客户端部分强制实际资助ScriptPubkey，但v0.6.0之前版块的客户端则王人备莫得进行关系考证。（CVE-2019-12999） 对所有夙昔版块的lnd客户端，膺惩者都可能通过不正确的数目进行膺惩。在v0.7.0版块，膺惩者必须使用正确的scriptpubkey，这会烧掉funding输出中的币。 而关于v0.6.0版块之前的客户端，膺惩者通过不正确的scriptpubkey都可闭幕膺惩。在v0.6.x客户端中，若是在funding交游达到所需的证明数，在职意一个全节点后端上运行txindex=0，且节点处于离线（offline）状况时，此缺欠也可能会被期骗。 期骗乌有outpoint膺惩neutrino客户端（常常是转移端或条记本电脑）用户，需膺惩者将其假outpoint与BIP 158 筛选要领中果然凿outpoint剧本碰撞。用于创建筛选要领的siphash密钥是从blockhash派生而来的。因此，膺惩者在不提前知谈区块哈希的情况下，是无法班师进行膺惩的。此外， neutrino客户端节点常常不会监听或不具备公告地址，这意味着膺惩者必须等至接纳到入站通顺后智力实际膺惩。 eclair: v0.3.1及以上版块的客户法例确科罚了安全隐患，若是用户使用了bitcoin core看成后端，则夙昔版块的eclair客户端就会有安全隐患。而electrum用户只查验剧本，而不会查验数目。（CVE-2019-13000） 膺惩Electrum客户端用户（转移端），则条目用户主动通顺到坏心闪电辘集节点，而况膺惩者使用正确的scriptpubkey，这会烧掉 funding输出中的币。由于Eclair转移端客户端不会中继支付，膺惩者在莫得带外（offband）交互（举例，向用户出售某物，澳门银河彩票网并使用假通谈中的资金进行支付）的情况下，是无法进行支款操作的。   科罚决议  

一朝不雅察到funding交游，平等节点（peer）必须查验`funding_created`[1] 中所述的outpoint是否为`open_channel`[3]中形色金额的funding交游输出[2] 。

  配景  

要掀开一个闪电辘集通谈，funding平等节点发送带有淡薄`funding_satoshis`（金额）的`open_channel`。被资助者则用 `accept_channel`求教，提供其但愿用于这笔funding交游的密钥。

然后出资东谈主创建这笔funding交游，并发送交游id以及`funding_created`音书中的输出编号。

其中节点A是“出资东谈主”，节点B是“被资助者”

申博私网 有了这些信息，“被资助者”可在第一笔“得意交游”上创建签名，并将其发送到一则`funding_signed`音书中，以便在出现问题时，资助者可取回他们的资金。这么，出资东谈主就不错安全地签署并播送这笔opening交游。经过一定数目的证明（由“被资助者”设定）后，通谈就运交运作(`funding_locked`)了。

模范明晰地形色了查验所交换的多样签名，是否如实允许创建有用得意交游[4]的条目，并形色了恭候证明的条目[5]。

可是，它并不条目接纳者本色查验交游是否是出资东谈主得意的交游：包括金额和本色的scriptpubkey。

  缺欠发现经由  

Rusty Russell (Blockstream)在为模范自己进行公约测试（加多了多个新的淡薄功能[6]）时发现了这一缺欠。

在编写测试时，通谈开启者（opener）在`funding_created`音书中提供了不正确的`funding_output_index`，Russell意志到C-Lightning客户端不会拒却它，因为C-Lightning只查验`funding_txid`的证明计数，以致连`funding_output_index`是否存在都不会进行查验！

而这个条目在模范中是莫得被提到的，因此Rusty立即向其它被平日使用的客户端（eclair 和 lnd）的作家揭示了这一问题。经过拜访后，他们发现果然是存在这么的问题。

于是，几个团队一谈作念出决定，先在新版块客户端中暗暗地科罚这些问题，然后再经过8周（大多半用户完成升级后），就可揭示问题自己，接着再过四周后，他们就全面露馅缺欠。

皇冠体育app下载

值得荣幸的是，这一始终存在的缺欠并莫得被平日期骗，其如实提供了一个测试所有这个词闪电辘集生态系统通讯和升级门径的契机。

  缺欠期间表  

2019-06-27: Rusty Russell发现缺欠，并见告LND和Eclair客户端作家；

2019-06-28: CVE缺欠编号被分拨完了；

2019-07-02: lnd v0.7.0-beta客户端发布；

2019-07-03: Eclair 0.3.1客户端发布；

2019-07-04: c-lightning 0.7.1 客户端发布；

2019-07-06: Rusty Russell等东谈主运行向其他客户端(rust-lightning, ptarmigan, BLW)作家露馅缺欠；

2019-07-30: lnd v0.7.1-beta 客户端发布；

2019-08-17: [证据部署状况/问题检察下一个日历]；

2019-08-30: 对外露馅CVE缺欠存在，劝告使用旧版块客户端的用户进行升级；

2019-09-07: 初次发现存东谈主企图期骗这种缺欠；

2019-09-27: 全面露馅CVE缺欠细节；

2019-09-27: 证据模范条目提交PR；

 

皇冠代理

[1] https://github.com/lightningnetwork/lightning-rfc/blob/v1.0/02-peer-protocol.md#the-funding_created-message

招股书显示，百奥赛图成立于2009年，是一家临床前CRO以及生物医药企业。

[2] https://github.com/lightningnetwork/lightning-rfc/blob/v1.0/03-transactions.md#funding-transaction-output

[3] https://github.com/lightningnetwork/lightning-rfc/blob/v1.0/02-peer-protocol.md#the-open_channel-message

[4] https://github.com/lightningnetwork/lightning-rfc/blob/v1.0/02-peer-protocol.md#requirements-2

[5] https://github.com/lightningnetwork/lightning-rfc/blob/v1.0/02-peer-protocol.md#the-funding_locked-message

赛事预测

[6] https://github.com/ElementsProject/lightning-rfc-protocol-test平博骰宝