Divulgation : réclamations invalides, problèmes de liquidité dans LDK v0.0.125 et versions antérieures

• Les versions 0.0.125 et antérieures de LDK sont susceptibles de faire l’objet d’une attaque de liquidité visant les canaux d’ancrage. Cette attaque entraîne le blocage des fonds et la récupération n’est possible qu’en créant et en diffusant manuellement une transaction de réclamation valide.
• La vulnérabilité a été découverte lors d’un audit du module chaîne de LDK.
• Les utilisateurs concernés peuvent débloquer leurs fonds bloqués en effectuant une mise à niveau vers LDK v0.1 et en rejouant la série d’engagements et de transactions HTLC qui ont abouti au blocage.

Chronologie

• 2024-12-23 : Vulnérabilité signalée à la liste de diffusion de sécurité LDK.
• 2025-01-15 : Correctif fusionné.
• 2025-01-16 : LDK 0.1 publié contenant le correctif, avec divulgation publique dans les notes de version.
• 2025-01-23 : Description détaillée de la vulnérabilité publiée.

Points à retenir

• La lisibilité du code est importante pour éviter les bogues.
• Mise à jour vers LDK 0.1 pour le correctif de vulnérabilité.

Divulgation complète / Archive
Discussion approfondie sur Bitcoin

• Vous en voulez plus ? Abonnez-vous et recevez le rapport No Bullshit GM directement dans votre boîte aux lettres et No Bullshit Bitcoin sur Nostr.
• Des retours ou des conseils d’actualité ? Déposez-le ici.