Il plugin che permette di accettare pagamenti Lightning senza la necessità di avere un proprio nodo viene dismesso a causa di due vulnerabilità individuate in pochi giorni.
BTCPay Server, il software open source che permette di accettare pagamenti in bitcoin, consente lo sviluppo e l’aggiunta di funzionalità avanzate attraverso un sistema di plugin esterni.
LNbank è un plugin esterno che permette a un amministratore di un’istanza BTCPay Server di diventare custode dei fondi degli utenti di quell’istanza, permettendogli di ricevere e inviare transazioni Lightning in modo semplice, senza dover utilizzare un proprio nodo.
Due bug in due settimane
In poco più di due settimane sono state trovate due gravi vulnerabilità in LNbank che hanno portato Dennis Reimann, lo sviluppatore del plugin, a interrompere lo sviluppo di LNbank.
Il primo bug, che permetteva di prelevare liquidità dal nodo Lightning dell’amministratore di un’istanza BTCPay Server, ha causato la perdita di fondi a danno di alcuni utenti. Un utente ha perso 4 BTC.
Il 25 dicembre il team di BTCPay Server ha individuato una seconda vulnerabilità nella versione 1.9.0 del plugin.
Per mitigare il problema, il team di BTCPay Server invita tutti gli utenti che utilizzano il plugin LNbank a effettuare subito l’aggiornamento appena rilasciato.
La versione 1.9.2 corregge la vulnerabilità in questione e disabilita completamente la funzionalità di invio delle transazioni.
Nonostante l’aggiornamento, Dennis Reimann ha affermato che la versione 1.9.2 sarà l’ultima versione di LNbank, consigliando a tutti coloro che usano il plugin di ridurre gradualmente il suo utilizzo, specialmente su un’istanza che permette la registrazione di un account a chiunque lo desideri.
Le due vulnerabilità trovate impattano solo gli utenti che utilizzano il plugin LNbank. Gli utenti che non lo hanno abilitato, non sono interessati e non devono effettuare alcuna azione particolare.
