Po nedávné verzi 0.15.3. aktualizaci Lightning Network objevili nezávislí výzkumníci kybernetické bezpečnosti kritickou bezpečnostní zranitelnost, která by potenciálně umožnila špatným aktérům zabránit lnd uzlům v analýze transakcí.
A Lightning Network Daemon (lnd) je úplná implementace Lightning Network Node, spolu se službami a zásuvnými moduly, které mu umožňují připojit se ke zbytku Lightning sítě, blockchain Layer-2 pro bitcoiny, který umožňuje inteligentní kontrakty. být provozován v síti BTC.
Aktualizace vydaná pouhé hodiny po objevení
Díky pozorné práci člena komunity Buraka a citlivým vývojářům byla hotfix v0.15.4-beta vydána asi tři hodiny po objevení chyby.
Pokud by chyba zůstala bez dozoru, mohla by tam být zastavil transakce procházející, pokud uzly odpovědné za jejich analýzu byly napadeny špatnými aktéry.
"Toto je nouzové vydání opravy hotfix, která opravuje chybu, která může způsobit, že uzly IND nebudou schopny analyzovat určité transakce, které mají velmi velký počet vstupů svědků."
Vývojáři používající Lightning Network mají nyní dva týdny na to, aby aktualizaci použili. Poté vyprší aktuálně platné časové zámky kanálu a uzly budou opět zranitelné.
Druhá kritická chyba za měsíc, objevená Burakem
Nejnovější chybu, která ovlivnila knihovnu pro analýzu btcd drátu Lightning Network, objevil a oznámil Burak na Twitteru.
Někdy, abychom našli světlo, se musíme nejprve dotknout temnoty.https://t.co/dhCwF0DxpE
— Burak (@brqgoo) Listopadu 1, 2022
V blockchainové transakci použité k demonstraci chyby vývojář zanechal zprávu naznačující hlavní příčinu problému: „spustíte cln. A budeš šťastný."
Vývojář byl také zodpovědný za odhalení podobné chyby 9. října. V tomto případě Burak vytvořil multisig transakci 998 z 999, která byla okamžitě odmítnuta jak LND, tak btcd uzly. To vedlo k tomu, že celý blok, kdy byla transakce zaznamenána, byla odmítnuta, což vedlo k ubohému transakčnímu poplatku pouze 5.16 $.
Ačkoli tato chyba mohla mnohé v bitcoinové komunitě potěšit, stále se jednalo o technicky zneužití systému a krátce poté byla opravena.
Tuto chybu zabezpečení údajně nahlásil i hacker s bílým kloboukem Anthony Towns, který informace předal vedoucímu vývojáři Lightning Network.
Za to, co stojí za to, jsem si také všiml této chyby a oznámil ji @roasbeef asi před dvěma týdny. Zdá se, že repo btcd nemá zásady hlášení bezpečnostních chyb, takže si nejsem jistý, zda se o tom dozvěděl někdo jiný, kdo na btcd pracoval.
— Anthony Towns (@ajtowns) Listopadu 1, 2022
Navzdory rychlému vyřešení těchto dvou chyb vedly k volání po programu odměny za chyby pro Lightning Network – protože tyto chyby byly hlášeny pouze v dobré víře. Bez pobídek pro etické hackery, aby objevili a nahlásili podobné chyby, nelze říci, kdo může objevit budoucí problémy jako první.
Binance zdarma 100 $ (exkluzivně): Použijte tento odkaz zaregistrovat se a získat 100 $ zdarma a 10% slevu na poplatky na Binance Futures první měsíc (podmínky).
Speciální nabídka PrimeXBT: Použijte tento odkaz registrujte se a zadejte kód POTATO50, abyste získali až 7,000 XNUMX $ na své vklady.
Zdroj: https://cryptopotato.com/emergency-hotfix-deployed-to-prevent-disruption-to-the-lightning-network/