LND зламався? Або неймовірно велика транзакція, яка його десинхронізувала, була прямою атакою на реалізацію LND? Чи все це впливає на велику мережу Lightning? А як щодо мережі біткойн? Ця історія починається з різноманітних питань, і ми не можемо обіцяти відповісти на всі. Гра йде. Щось відбувається. Щоправда, важко визначити. І здається, що буде розкрито більше, ніби ми все ще не маємо всіх даних.
Давайте перевіримо, що ми маємо, і спробуємо розібратися в цьому. І все починається з короткого викладу історії.
Що таке LND і ці величезні транзакції?
9 жовтня розробник, відомий як — оголосив Бурак «Я щойно виконав multisig 998 з 999 tapscript, і це коштувало лише 4.90 доларів США комісії за транзакції». Ця цікава транзакція призвела до десинхронізації Lightning Network, яка не створила один блок. Команда Lightning Labs, відповідальна за впровадження LND, випустила виправлення за лічені години. Цей інцидент чітко показав, що Lightning Network все ще розробляється, а реалізації вразливі до атак.
Сьогодні у Бурака знову інсульт. «Іноді, щоб знайти світло, ми повинні спочатку торкнутися темряви» він цвірінькав супроводжуючі ще одна величезна операція. Цього разу удар торкнувся лише вузлів LND. Усі інші залишалися синхронними, тоді як LND застряг. Деякий час там вузли LND могли направляти платежі, але не знали про стан ланцюжка. Lightning Labs визнали помилку у своїх офіційних каналах і почали працювати над нею виправлене виправлення через кілька годин.
За допомогою @блискавка Команда лабораторії (ч/т @guggero), нас в @GaloyMoney і наші конвеєри CI @BTCBeachWallet вузли оновлюються з виправленням помилок протягом 31 блоку після звернення 73be398c4bdc43709db7398106609eea2a7841aaf3a4fa2000dc18184faa2a7e.
Чи може це залишитися рекордом? pic.twitter.com/Utrabq86jF— openoms (@openoms) Листопад 1, 2022
Щоб пояснити наслідки для всіх нас, консультант із прикладної криптографії Пітер Тодд проаналізував ситуація. «Оскільки LN — це _не_ консенсусна система, наявність різних реалізацій — це добре. Частина мережі зараз не працює. Але немає ніякої реальної шкоди в тому, щоб інші не спали. Водночас основною причиною проблеми є помилковий код btcd», — написав він у Twitter.
Поки що все звучить добре. Здається, намір транзакції підкреслює вразливість, не завдаючи значних збитків. Річ у тім, писав Бурак, що «ви запустите cln. і ви будете щасливі» в OP_RETURN DATA. А «cln» означає Core Lightning, головного конкурента LND. А Продукт Blockstream.
Графік цін BTC за 11 на Bitstamp | Джерело: BTC / USD на TradingView.com
Хтось повідомляв про помилку LND задовго до атаки?
Ще один розробник під псевдонімом — написав Бураку, «Етична річ — це розкрити вразливість команді Lightning Labs замість того, щоб знищувати більшість вузлів у мережі». Потім назвали ще одного розробника Ентоні Таунс доставив необхідний сюжетний поворот: «Якщо це варте, я також помітив цю помилку та повідомив про неї Олаолува Осунтокуну близько двох тижнів тому. Схоже, у репозиторії btcd немає політики звітування про помилки безпеки, тому не впевнений, чи хтось інший, хто працює над btcd, дізнався про це».
«Початковий звіт був не в тому місці, і його пропустили. Я звернувся до нього через тиждень, 19 числа, і Олаолува Осунтокун відповів із деякими міркуваннями про те, чому це ще не було помічено та як це зробити», — уточнив Таунс. Пізніше Осунтокун підтвердив повідомлення та розповів: «Оскільки публікація була загальнодоступною, я її видалив, а потім написав йому електронною поштою. У нас був готовий патч для незначного випуску (з деякими іншими оптимізаціями пам’яті), але, звичайно, це випередило його».
Також @ajtowns зв’язався зі мною, зробивши проблему на моєму загальнодоступному форку btcd з деталями, оскільки публікація була публічною, я її видалив, а потім зв’язався з ним електронною поштою
у нас був готовий патч для другорядного випуску (з деякими іншими оптимізаціями пам’яті), але, звичайно, це випередило його
— Олаолува Осунтокун (@roasbeef) Листопад 1, 2022
Він також зазначив важливу річ: «Я не думав, що хтось буде працювати з майнерами, щоб видобувати це». Для проходження цієї конкретної помилки потрібна була участь майнера. У цьому нападі могло бути більше, ніж здається на перший погляд. Однак до транзакції було приєднано понад 700 доларів США комісії. Цієї непомірної комісії могло бути достатньо, щоб провести незвичайну транзакцію.
Чи Blockstream відповідає за атаку?
Ось де все стає складним, тому що, здається, Бурак раніше був спонсорований Blockstream для роботи над ліквідними угодами на Bitmatrix. У серії видалених на той час твітів генеральний директор Lightning Labs Елізабет Старкс, здається, звинувачує Blockstream принаймні в спонсоруванні атак. На запитання співробітника Blockstream Старкс відповів: «Чи це не правда, що це спонсорований розробник?» і «Здається, ви пропустили видалений твіт, де я конкретно зазначив, що було зрозуміло, що ця атака не була частиною того, що було спонсоровано».
Хіба це не правда, що це спонсорований розробник? Я мав на увазі не те, що *ця* робота була профінансована, але, як ви написали, цю людину «безумовно спонсорує blockstream». pic.twitter.com/s1SHZnnbo5
— Елізабет Старк 🍠 (@starkness) Листопад 1, 2022
Введіть засновника Suredbits Кріс Стюарт, який пішов ще далі і прямо попросив Адама Бека підтвердити, «що Blockstream не спонсорує ці атаки на LND як рекламний інструмент для core lightning». Адам Бак заперечив будь-яке спонсорство і пояснив, що, на його думку, мав на увазі Бурак. «З повідомлення op_return можна зробити висновок про ризики використання повного вузла, відмінного від ядра біткойна, для консенсусу, а Core Lightning використовує ядро біткойна. можливо, Бурак наголошує на цьому, емпірично. Це відоме обмеження безпеки LANGSEC, побітову сумісність майже неможливо».
Щоб все покласти спати, дослідник Blockstream Крістіан Декер пішов на запис і написав у Twitter: «Це жахливо, команда Core Lightning не виправдовує напади будь-якого характеру. А називати конкурента – це справді поганий смак. Будь ласка, дотримуйтеся відповідального розкриття інформації та уникайте подібних рекламних трюків, це не допомагає, а створює багато проблем!»
Вибране зображення від Бетані Лерд on Unsplash | Графіки за TradingView
Джерело: https://bitcoinist.com/huge-transaction-brought-down-lnd-blockstream/