Efter den seneste version 0.15.3. opdatering til Lightning-netværket, blev en kritisk sikkerhedssårbarhed opdaget af uafhængige cybersikkerhedsforskere, som potentielt ville give dårlige aktører mulighed for at stoppe landnoder i at analysere transaktioner.
En Lightning Network Daemon (lnd) er en fuld implementering af en Lightning Network Node, sammen med de tjenester og plug-ins, der gør det muligt for den at oprette forbindelse til resten af Lightning-netværket, en Layer-2 blockchain for Bitcoin, der gør det muligt for smarte kontrakter at køres på BTC-netværket.
Opdatering udgivet få timer efter opdagelse
Takket være det opmærksomme fællesskabsmedlem Buraks arbejde og lydhøre udviklere, blev hotfix v0.15.4-beta udgivet omkring tre timer efter, at fejlen blev opdaget.
Hvis det efterlades uden opsyn, kunne fejlen have stoppet transaktioner, der går igennem, hvis de noder, der er ansvarlige for at analysere dem, var blevet angrebet af dårlige aktører.
"Dette er en hotfix-udgivelse i nødstilfælde for at rette en fejl, der kan forårsage, at lokalknudepunkter ikke er i stand til at parse visse transaktioner, der har et meget stort antal vidneinput."
Udviklere, der bruger Lightning Network, har nu to uger til at anvende opdateringen. Bagefter vil kanaltidslåse, der er på plads, udløbe og efterlade noderne sårbare igen.
Anden kritisk fejl på en måned, opdaget af Burak
Den seneste fejl, som påvirkede btcd wire parsing-biblioteket i Lightning Network, blev opdaget og annonceret af Burak på Twitter.
Nogle gange skal vi først røre ved mørket for at finde lyset.https://t.co/dhCwF0DxpE
— Burak (@brqgoo) November 1, 2022
I blockchain-transaktionen, der blev brugt til at demonstrere fejlen, efterlod udvikleren en tongue-in-cheek-meddelelse, der angiver årsagen til problemet: "you'll run cln. Og du vil blive glad."
Udvikleren var også ansvarlig for at afsløre en lignende fejl den 9. oktober. I det tilfælde oprettede Burak en 998-ud-af-999 multisig-transaktion, der omgående blev afvist af både LND- og btcd-noder. Dette resulterede i, at hele den blokering, transaktionen blev registreret i, blev afvist, hvilket førte til et sølle transaktionsgebyr på kun $5.16.
Selvom denne fejl kan have gjort mange i Bitcoin-samfundet glade, var den teknisk set stadig en udnyttelse af systemet og blev rettet kort efter.
Denne sårbarhed var angiveligt også blevet rapporteret af den hvide hat-hacker Anthony Towns, som videresendte oplysningerne til en ledende Lightning Network-udvikler.
For hvad det er værd, har jeg også bemærket denne fejl og afsløret det til @roasbeef for omkring to uger siden. btcd-repoen ser ikke ud til at have en rapporteringspolitik for sikkerhedsfejl, så jeg er ikke sikker på, om nogen andre, der arbejder på btcd, fandt ud af det.
— Anthony Towns (@ajtowns) November 1, 2022
På trods af den hurtige løsning på disse to fejl, førte de til opfordringer til et bug bounty-program til Lightning Network - da disse blev rapporteret på grund af intet andet end god tro. Uden incitamenter for etiske hackere til at opdage og rapportere lignende fejl, er der ingen at sige, hvem der kan opdage fremtidige problemer først.
Binance Gratis $100 (Eksklusivt): Brug dette link at registrere og modtage $100 gratis og 10% rabat på gebyrer på Binance Futures første måned (vilkår).
PrimeXBT Særtilbud: Brug dette link for at registrere og indtaste POTATO50-koden for at modtage op til $7,000 på dine indbetalinger.
Kilde: https://cryptopotato.com/emergency-hotfix-deployed-to-prevent-disruption-to-the-lightning-network/