След скорошната v0.15.3. актуализация на Lightning Network, критична уязвимост в сигурността беше открита от независими изследователи на киберсигурността, която потенциално би позволила на лоши участници да спрат lnd възли от анализиране на транзакции.
Демонът на Lightning Network (lnd) е пълна реализация на Lightning Network Node, заедно с услугите и плъгините, които му позволяват да се свърже с останалата част от мрежата Lightning, Layer-2 блокчейн за биткойн, който позволява интелигентни договори за да се управлява в мрежата на BTC.
Актуализацията е пусната само часове след откриването
Благодарение на работата на внимателния член на общността Burak и отзивчивите разработчици, актуалната корекция v0.15.4-beta беше пусната около три часа след откриването на грешката.
Ако бъде оставена без надзор, грешката може да е спря преминаващи транзакции, ако възлите, отговорни за анализирането им, са били атакувани от лоши участници.
„Това е спешна версия на гореща корекция за коригиране на грешка, която може да накара lnd възлите да не могат да анализират определени транзакции, които имат много голям брой свидетелски входове.“
Разработчиците, използващи Lightning Network, вече имат две седмици, за да приложат актуализацията. След това заключенията на времето на канала, които са в момента, ще изтекат и ще оставят възлите отново уязвими.
Втори критичен бъг за един месец, открит от Бурак
Най-новият бъг, който засегна библиотеката за разбор на btcd wire на Lightning Network, беше открит и обявен от Бурак в Twitter.
Понякога, за да намерим светлината, първо трябва да докоснем тъмнината.https://t.co/dhCwF0DxpE
— Бурак (@brqgoo) Ноември 1, 2022
В блокчейн транзакцията, използвана за демонстриране на грешката, разработчикът остави насмешливо съобщение, посочващо основната причина за проблема: „ще стартирате cln. И ще бъдеш щастлив.”
Разработчикът също беше отговорен за разкриването на подобен бъг на 9 октомври. В този случай Бурак създаде 998-от-999 мултисиг транзакция, която беше незабавно отхвърлена както от LND, така и от btcd възлите. Това доведе до отхвърляне на целия блок, в който беше записана транзакцията, което доведе до мижава такса за транзакция от само $5.16.
Въпреки че този бъг може да е зарадвал мнозина в биткойн общността, технически той все още беше експлойт на системата и беше коригиран малко след това.
Твърди се, че тази уязвимост също е била докладвана от хакера с бяла шапка Антъни Таунс, който е препратил информацията на водещ разработчик на Lightning Network.
Колкото и да си струва, аз също забелязах този бъг и го разкрих на @roasbeef преди около две седмици. Btcd repo изглежда няма политика за докладване за грешки в сигурността, така че не съм сигурен дали някой друг, работещ по btcd, е разбрал за него.
— Антъни Таунс (@ajtowns) Ноември 1, 2022
Въпреки бързото разрешаване на тези два бъга, те доведоха до призиви за програма за награди за бъгове за Lightning Network – тъй като те бяха докладвани поради нищо повече от добра воля. Без стимули за етичните хакери да откриват и докладват подобни грешки, не може да се каже кой може пръв да открие бъдещи проблеми.
Binance Безплатни $100 (изключително): Използвайте тази връзка да се регистрирате и да получите $100 безплатни и 10% отстъпка от таксите за Binance Futures първия месец (условия).
Специална оферта на PrimeXBT: Използвайте тази връзка за да се регистрирате и въведете POTATO50 код, за да получите до $7,000 на вашите депозити.
Източник: https://cryptopotato.com/emergency-hotfix-deployed-to-prevent-disruption-to-the-lightning-network/