Je LND rozbité? Nebo byla směšně velká transakce, která ji desynchronizovala, přímým útokem na implementaci LND? Má to všechno vliv na větší Lightning Network? A co bitcoinová síť? Tento příběh začíná všemi druhy otázek a nemůže slíbit, že na všechny odpoví. Hra je v plném proudu. Něco se děje. Těžko ale určit co. A zdá se, že bude odhaleno více, jako bychom stále neměli všechna data.
Prozkoumejme, co máme, a pokusme se tomu přijít na kloub. A vše začíná shrnutím dosavadního děje.
Co je s LND a těmito obrovskými transakcemi?
9. října vývojář známý jako oznámil Burak "Právě jsem udělal 998 z 999 tapscript multisig a stálo to pouze 4.90 $ na poplatcích za transakce." Tato kuriózní transakce nesynchronizovala Lightning Network, která zmeškala výrobu jednoho bloku. Tým Lightning Labs, zodpovědný za implementaci LND, vydal opravu během několika hodin. Incident jasně ukázal, že Lightning Network je stále ve vývoji a implementace jsou zranitelné vůči útokům.
Dnes Buráka opět mrtvice. "Někdy, abychom našli světlo, musíme se nejprve dotknout temnoty," on tweeted doprovázející další velká transakce. Tentokrát dopad zasáhl pouze uzly LND. Všichni ostatní zůstali v synchronizaci, zatímco LND se zaseklo. Nějakou dobu tam mohly uzly LND směrovat platby, ale nevěděly o stavu řetězce. Lightning Labs uznali chybu ve svých oficiálních kanálech a začali pracovat oprava hotfix, která byla vydána o pár hodin později.
S pomocí @Blesk Tým laboratoří (h/t @guggero), u nás @GaloyMoney a naše CI potrubí @BTCBeachWallet uzly jsou aktualizovány pomocí opravy chyby do 31 bloků po zásahu 73be398c4bdc43709db7398106609eea2a7841aaf3a4fa2000dc18184faa2a7e.
Může to nyní zůstat rekordem? pic.twitter.com/Utrabq86jF— openoms (@openoms) Listopadu 1, 2022
Abychom vysvětlili důsledky pro nás ostatní, konzultant aplikované kryptografie Peter Todd analyzoval situace. „Protože LN _není_ konsensuálním systémem, je dobré mít různé implementace. Část sítě je právě teď mimo provoz. Ale není na škodu, když zbytek zůstane vzhůru. Mezitím je hlavní příčinou problému chybný kód btcd,“ napsal na Twitteru.
Zatím vše zní dobře. Zdá se, že záměr transakce upozorní na zranitelnost, aniž by způsobil značné škody. Jde o to, Burak napsal, „budete provozovat cln. a budete šťastní“ v OP_RETURN DATA. A „cln“ odkazuje na Core Lightning, hlavní konkurenci LND. A Produkt Blockstream.
Cenový graf BTC pro 11 na Bitstamp | Zdroj: BTC/USD dne TradingView.com
Nahlásil někdo chybu LND dlouho před útokem?
Další pseudonymní vývojář napsal Burakovi„Etická věc, kterou je třeba udělat, je odhalit zranitelnost týmu Lightning Labs namísto odstranění většiny uzlů v síti.“ Pak se jmenoval další vývojář Anthony Towns doručen nezbytný dějový zvrat: „Ať to stojí za to, také jsem si všiml této chyby a oznámil jsem ji Olaoluwa Osuntokun asi před dvěma týdny. Zdá se, že repozitář btcd nemá zásady pro hlášení bezpečnostních chyb, takže si nejsem jistý, zda se o tom dozvěděl někdo jiný, kdo na btcd pracoval.“
"Počáteční zpráva byla na špatném místě a byla přehlédnuta, navázal jsem o týden později 19. a Olaoluwa Osuntokun odpověděl několika myšlenkami, proč to již nebylo zachyceno a jak to udělat lépe," uvedl dále Towns. Později Osuntokun zprávu potvrdil a odhalil: „Jelikož byl příspěvek veřejný, smazal jsem ho a poté jsem s ním pokračoval prostřednictvím e-mailu. Měli jsme připravenou opravu pro menší vydání (s některými dalšími optimalizacemi paměti), ale to tomu předcházelo.“
také @ajtowns kontaktoval mě tím, že udělal problém na mé veřejné větvi btcd s podrobnostmi, protože příspěvek byl veřejný, smazal jsem ho a poté jsem ho sledoval prostřednictvím e-mailu
měli jsme připravenou opravu pro menší vydání (s některými dalšími optimalizacemi paměti), ale zjevně to zabránilo tomu
— Olaoluwa Osuntokun (@roasbeef) Listopadu 1, 2022
Poukázal také na důležitou věc: „Nepředstavoval jsem si, že by na tom někdo pracoval s horníky. Tato konkrétní chyba vyžadovala účast těžaře, aby prošel. V tomto útoku mohlo být víc, než se na první pohled zdá. S transakcí však byly spojeny poplatky přes 700 USD. Ten přemrštěný poplatek by mohl stačit k tomu, aby ta neobvyklá transakce prošla.
Je Blockstream zodpovědný za útok?
Zde je vše zapeklité, protože se zdá, že Burak byl dříve sponzorován Blockstreamem, aby pracoval na tekutých smlouvách na Bitmatrixu. V sérii tehdy smazaných tweetů se zdá, že generální ředitelka Lightning Labs Elizabeth Starksová obviňuje Blockstream, že útoky přinejmenším sponzoruje. Když se ho zeptal zaměstnanec Blockstreamu, Starks odpověděl: "Není to pravda, že je to sponzorovaný vývoj?" a "Zdá se, že jste vynechali smazaný tweet, kde jsem konkrétně uvedl, že bylo jasné, že tento útok nebyl součástí toho, co bylo sponzorováno."
Není to pravda, že je to sponzorovaný vývojář? Nešlo mi o to, že *toto* dílo bylo financováno, ale jak jste napsal, tato osoba je „definitivně sponzorována blockstreamem“. pic.twitter.com/s1SHZnnbo5
— elizabeth stark 🍠 (@starkness) Listopadu 1, 2022
Zadejte zakladatel Suredbits Chris Stewart, který to dotáhl ještě dále a rovnou požádal Adama Backa, aby potvrdil, „že Blockstream nesponzoruje tyto útoky na LND jako propagační nástroj pro core lightning“. Adam Back popřel jakékoli sponzorství a vysvětlil, co si myslí, že Burak myslel. „Ze zprávy op_return lze odvodit rizika používání úplného uzlu jiného než bitcoinového jádra pro konsensus a Core Lightning používá bitcoinové jádro. možná to Burak tvrdí empiricky. Známým omezením zabezpečení LANGSEC je, že je téměř nemožné, aby byla bitově kompatibilní.“
Abych dal všechno do postele, výzkumník Blockstream Christian Decker šel na záznam a tweetovali: „To je hrozné, tým Core Lightning netoleruje útoky jakékoli povahy. A jmenování konkurenta je opravdu nevkusné. Dodržujte prosím zodpovědná oznámení a vyhněte se reklamním trikům, jako je tento, nepomáhá to a způsobuje to spoustu problémů!“
Nejlepší obrázek od Bethany Laird on Unsplash | Grafy podle TradingView
Zdroj: https://bitcoinist.com/huge-transaction-brought-down-lnd-blockstream/