Nakon nedavne v0.15.3. ažuriranja Lightning Networka, nezavisni istraživači kibernetičke sigurnosti otkrili su kritičnu sigurnosnu ranjivost koja bi potencijalno omogućila lošim akterima da zaustave lnd čvorove u analiziranju transakcija.
Lightning Network Daemon (lnd) potpuna je implementacija Lightning Network Nodea, zajedno s uslugama i dodacima koji mu omogućuju povezivanje s ostatkom Lightning mreže, Layer-2 blockchain za Bitcoin koji omogućuje pametnim ugovorima pokrenuti na BTC mreži.
Ažuriranje objavljeno samo nekoliko sati nakon otkrića
Zahvaljujući radu pažljivog člana zajednice Buraka i odgovarajućim razvojnim programerima, hitni popravak v0.15.4-beta objavljen je otprilike tri sata nakon što je greška otkrivena.
Ako se ostavi bez nadzora, buba bi mogla biti zaustavljen transakcije koje prolaze ako su čvorove odgovorne za njihovo analiziranje napali loši akteri.
"Ovo je izdanje hitnog popravka za ispravljanje greške koja može uzrokovati da lnd čvorovi ne mogu analizirati određene transakcije koje imaju vrlo velik broj ulaza svjedoka."
Programeri koji koriste Lightning Network sada imaju dva tjedna za primjenu ažuriranja. Nakon toga, trenutna vremenska zaključavanja kanala će isteći i čvorove će ponovno učiniti ranjivima.
Drugi kritični bug u mjesec dana, otkrio Burak
Najnoviji bug, koji je utjecao na biblioteku parsiranja žica btcd Lightning Networka, otkrio je i objavio Burak na Twitteru.
Ponekad da bismo pronašli svjetlo, prvo moramo dodirnuti tamu.https://t.co/dhCwF0DxpE
— Burak (@brqgoo) Studenog 1, 2022
U blockchain transakciji korištenoj za demonstraciju buga, programer je ostavio bezobraznu poruku koja ukazuje na glavni uzrok problema: “pokrenut ćete cln. I bit ćeš sretan.”
Programer je također odgovoran za otkrivanje slične greške 9. listopada. U tom slučaju, Burak je kreirao 998-od-999 multisig transakciju koju su odmah odbili i LND i btcd čvorovi. To je rezultiralo odbijanjem cijelog bloka u kojem je transakcija zabilježena, što je dovelo do mizerne transakcijske naknade od samo 5.16 USD.
Iako je ovaj bug možda usrećio mnoge u Bitcoin zajednici, tehnički je i dalje bio iskorištavanje sustava i zakrpan je ubrzo nakon toga.
Ovu je ranjivost također navodno prijavio bijeli šešir haker Anthony Towns, koji je proslijedio informacije vodećem Lightning Network devu.
Koliko god vrijedilo, primijetio sam i ovu grešku i otkrio je @roasbeef prije otprilike dva tjedna. Čini se da btcd repo nema politiku prijavljivanja sigurnosnih grešaka, pa nisam siguran je li itko drugi koji radi na btcd-u saznao za to.
— Anthony Towns (@ajtowns) Studenog 1, 2022
Unatoč brzom rješavanju ova dva buga, oni su doveli do poziva za bug bounty program za Lightning Network – jer su prijavljeni samo zbog dobre volje. Bez poticaja za etičke hakere da otkriju i prijave slične bugove, ne zna se tko bi prvi mogao otkriti buduće probleme.
Binance besplatno 100 USD (isključivo): Koristite ovu vezu za registraciju i primanje 100 USD besplatno i 10% popusta na Binance Futures prvi mjesec (uvjeti).
Posebna ponuda PrimeXBT: Koristite ovu vezu da se registrirate i unesete POTATO50 kod kako biste primili do 7,000 USD na svoje depozite.
Izvor: https://cryptopotato.com/emergency-hotfix-deployed-to-prevent-disruption-to-the-lightning-network/