【CTO Tech Blog】Eclair 0.11.0以下に存在したプリイメージ抽出時の脆弱性
- CTO Tech blog
当社のCTO、安土 茂亨がクラウドやBlockchainについて書き連ねるブログ Develop with pleasure! から最新記事をご紹介するCTO Tech Blog。
今回は「Eclair 0.11.0以下に存在したプリイメージ抽出時の脆弱性」というタイトルの記事をご紹介!!
記事の概要
【技術解説】Eclairの脆弱性:プリイメージ抽出時の資金喪失リスク
Lightning Network 実装の一つである Eclair(0.11.0以下) に、プリイメージ抽出時の脆弱性 が存在していたことが報告されています。
問題の概要
チャネルを強制クローズする際、オンチェーンで HTLC(Hashed Time Locked Contract)を精算する処理において、Eclair はローカル側のコミットメントトランザクションのみを監視対象にしていました。そのため、リモート側の古いコミットメントに残っていた HTLC が見逃される可能性がありました。
想定される攻撃シナリオ
悪意のある相手が古いコミットメントをブロードキャストし、オンチェーン上でプリイメージを回収することで、被害者が資金を失う恐れがありました。
修正と対応
この問題は Eclair 0.12.0 で修正され、監視対象に「ローカル/リモート/次のリモートのコミットメント」を含めるよう改良されています。記事では、影響を受けるコード例や修正版の実装方針、開示までのタイムラインも詳細に解説しています。
🔗 Lightning 実装やチャネル信頼性の設計に関心のあるエンジニアにとって、非常に示唆に富む内容です。
Chaintopeでブロックチェーンの未来を共に創りませんか?
Chaintopeは、独自のブロックチェーン「Tapyrus」と、開発プラットフォーム「Tapyrus Platform」を活用し、デジタル社会の信頼基盤を構築しています。
私たちは、ブロックチェーン技術の可能性を最大限に引き出し、社会に新しい価値を提供することを目指しています。
募集職種:
- ブロックチェーンエンジニア
- アプリケーションエンジニア
- インフラ・保守エンジニア
- プロジェクトマネージャー
- フィールドセールス
Chaintopeで働く魅力:
最先端のブロックチェーン技術に触れる機会
リモートワークやフレックスタイム制による柔軟な働き方
専門性の高いチームとの協働
ブロックチェーン技術に情熱を持つあなたのスキルを、私たちのチームで活かしませんか?
詳細は、採用情報をご覧ください。