Po ostatniej wersji v0.15.3. aktualizacji Lightning Network, niezależni badacze cyberbezpieczeństwa odkryli krytyczną lukę w zabezpieczeniach, która potencjalnie pozwoliłaby złym podmiotom powstrzymać węzły przed analizowaniem transakcji.
Lightning Network Daemon (lnd) to pełna implementacja węzła Lightning Network Node, wraz z usługami i wtyczkami, które pozwalają mu łączyć się z resztą sieci Lightning, blockchain Layer 2 dla Bitcoin, który umożliwia inteligentne kontrakty być uruchamiane w sieci BTC.
Aktualizacja wydana zaledwie kilka godzin po odkryciu
Dzięki uważnej pracy członka społeczności Buraka i responsywnym twórcom, poprawka v0.15.4-beta została wydana około trzech godzin po wykryciu błędu.
Jeśli pozostawiony bez opieki, błąd może mieć zatrzymany transakcje przechodzące, jeśli węzły odpowiedzialne za ich parsowanie zostały zaatakowane przez złych aktorów.
„Jest to awaryjne wydanie poprawki hot fix mające na celu naprawienie błędu, który może spowodować, że węzły wewnętrzne nie będą w stanie przeanalizować niektórych transakcji, które mają bardzo dużą liczbę wejść świadka”.
Deweloperzy korzystający z Lightning Network mają teraz dwa tygodnie na zastosowanie aktualizacji. Następnie, aktualnie obowiązujące blokady czasowe kanału wygasną i ponownie narażą węzły na ataki.
Drugi krytyczny błąd w ciągu miesiąca, odkryty przez Burak
Najnowszy błąd, który wpłynął na bibliotekę analizowania drutu btcd sieci Lightning Network, został odkryty i ogłoszony przez Buraka na Twitterze.
Czasami, aby znaleźć światło, musimy najpierw dotknąć ciemności.https://t.co/dhCwF0DxpE
— Burak (@brqgoo) Listopad 1, 2022
W transakcji blockchain użytej do zademonstrowania błędu programista zostawił żartobliwy komunikat wskazujący pierwotną przyczynę problemu: „You'll run cln. I będziesz szczęśliwy.
Deweloper był również odpowiedzialny za wykrycie podobnego błędu 9 października. W tym przypadku Burak stworzył transakcję multisig 998 z 999, która została natychmiast odrzucona zarówno przez węzły LND, jak i btcd. Spowodowało to, że cały blok, w którym transakcja została zarejestrowana, został odrzucony, co doprowadziło do marnej opłaty transakcyjnej w wysokości zaledwie 5.16 USD.
Chociaż ten błąd mógł uszczęśliwić wielu w społeczności Bitcoin, technicznie nadal był to exploit systemu i został załatany wkrótce potem.
Ta luka została również rzekomo zgłoszona przez białego hakera Anthony'ego Townsa, który przekazał informacje głównemu programiście Lightning Network.
Co jest warte, zauważyłem również ten błąd i ujawniłem go @roasbeef jakieś dwa tygodnie temu. Repo btcd nie wydaje się mieć zasad zgłaszania błędów bezpieczeństwa, więc nie jestem pewien, czy ktokolwiek inny pracujący nad btcd dowiedział się o tym.
— Anthony Towns (@ajtowns) Listopad 1, 2022
Pomimo szybkiego rozwiązania tych dwóch błędów, doprowadziły one do wezwania do programu nagród za błędy dla sieci Lightning Network – ponieważ zostały one zgłoszone wyłącznie z powodu dobrej wiary. Bez zachęt dla etycznych hakerów do odkrywania i zgłaszania podobnych błędów nie wiadomo, kto pierwszy może odkryć przyszłe problemy.
Binance Free 100 $ (ekskluzywne): Użyj tego linku zarejestrować się i otrzymać 100 $ za darmo i 10% zniżki na opłaty na Binance Futures w pierwszym miesiącu (REGULAMIN).
Oferta specjalna PrimeXBT: Użyj tego linku aby się zarejestrować i wprowadzić kod POTATO50, aby otrzymać do 7,000 $ na swoje depozyty.
Źródło: https://cryptopotato.com/emergency-hotfix-deployed-to-prevent-disruption-to-the-lightning-network/