Після останньої версії 0.15.3. оновлення Lightning Network, незалежні дослідники з кібербезпеки виявили критичну вразливість, яка потенційно дозволить зловмисникам перешкоджати аналізу транзакцій lnd вузлами.
Демон мережі Lightning (lnd) — це повна реалізація вузла мережі Lightning разом із службами та плагінами, які дозволяють йому підключатися до решти мережі Lightning, блокчейн рівня 2 для біткойнів, який дозволяє смарт-контрактам працювати в мережі BTC.
Оновлення випущено через кілька годин після відкриття
Завдяки уважній роботі учасника спільноти Бурака та чуйним розробникам виправлення v0.15.4-beta було випущено приблизно через три години після виявлення помилки.
Якщо залишити без уваги, помилка могла виникнути зупинений проходження транзакцій, якщо вузли, відповідальні за їх аналіз, були атаковані зловмисниками.
«Це екстрений випуск гарячих виправлень для виправлення помилки, через яку вузли lnd не можуть аналізувати певні транзакції, які мають дуже велику кількість вхідних даних-свідків».
У розробників, які використовують Lightning Network, тепер є два тижні, щоб застосувати оновлення. Після цього часові блокування каналів, які зараз діють, закінчаться, і вузли знову залишаться вразливими.
Бурак виявив другу критичну помилку за місяць
Остання помилка, яка вплинула на бібліотеку розбору проводів btcd у Lightning Network, була виявлена та опублікована Бураком у Twitter.
Іноді, щоб знайти світло, ми повинні спочатку торкнутися темряви.https://t.co/dhCwF0DxpE
— Бурак (@brqgoo) Листопад 1, 2022
У транзакції блокчейну, використаній для демонстрації помилки, розробник залишив нахабне повідомлення, вказуючи на першопричину проблеми: «ви запустите cln. І будеш щасливий».
Розробник також відповідальний за виявлення подібної помилки 9 жовтня. У цьому випадку Бурак створив мультисиг-транзакцію 998 із 999, яка була негайно відхилена вузлами LND і btcd. Це призвело до того, що весь блок, у якому була зареєстрована транзакція, був відхилений, що призвело до мізерної комісії за транзакцію у розмірі лише 5.16 доларів США.
Хоча ця помилка, можливо, порадувала багатьох у біткойн-спільноті, технічно вона все одно була експлойтом системи та була виправлена невдовзі.
Про цю вразливість також нібито повідомив білий хакер Ентоні Таунс, який переслав інформацію провідному розробнику Lightning Network.
Хоча це варте, я також помітив цю помилку та повідомив про неї @roasbeef близько двох тижнів тому. У репозиторії btcd, здається, немає політики звітування про помилки безпеки, тому не впевнений, чи хтось інший, хто працює над btcd, дізнався про це.
— Ентоні Таунс (@ajtowns) Листопад 1, 2022
Незважаючи на швидке усунення цих двох помилок, вони призвели до закликів до програми винагороди за помилки для Lightning Network, оскільки вони були повідомлені лише через добросовісність. Без стимулів для етичних хакерів виявляти подібні помилки та повідомляти про них, неможливо сказати, хто може першим виявити майбутні проблеми.
Binance безкоштовно $100 (ексклюзив): Використовуйте це посилання щоб зареєструватися та отримати 100 доларів США безкоштовно та знижку 10% на Binance Futures за перший місяць (terms ).
Спеціальна пропозиція PrimeXBT: Використовуйте це посилання щоб зареєструватися та ввести код POTATO50, щоб отримати до 7,000 доларів США на свої депозити.
Джерело: https://cryptopotato.com/emergency-hotfix-deployed-to-prevent-disruption-to-the-lightning-network/