Na de recente v0.15.3. update naar het Lightning Network, een kritieke beveiligingskwetsbaarheid ontdekt door onafhankelijke cybersecurity-onderzoekers die mogelijk kwaadwillenden in staat zou stellen om te voorkomen dat lnd-knooppunten transacties ontleden.
Een Lightning Network Daemon (lnd) is een volledige implementatie van een Lightning Network Node, samen met de services en plug-ins waarmee het verbinding kan maken met de rest van het Lightning-netwerk, een Layer-2-blockchain voor Bitcoin waarmee slimme contracten worden uitgevoerd op het BTC-netwerk.
Update vrijgegeven slechts enkele uren na ontdekking
Dankzij het waakzame werk van Burak en de responsieve ontwikkelaars, werd hotfix v0.15.4-beta ongeveer drie uur nadat de bug was ontdekt uitgebracht.
Als het onbeheerd wordt achtergelaten, kan de bug zijn geweest: gestopt transacties die doorgingen als de knooppunten die verantwoordelijk waren voor het ontleden ervan waren aangevallen door slechte actoren.
"Dit is een noodrelease voor hotfixes om een bug op te lossen die ervoor kan zorgen dat lnd-knooppunten bepaalde transacties met een zeer groot aantal getuigeninvoer niet kunnen ontleden."
Ontwikkelaars die het Lightning Network gebruiken, hebben nu twee weken de tijd om de update toe te passen. Daarna verlopen kanaaltijdsloten die momenteel op hun plaats zijn en maken de knooppunten weer kwetsbaar.
Tweede kritieke bug in een maand, ontdekt door Burak
De meest recente bug, die invloed had op de btcd wire-parsing-bibliotheek van het Lightning Network, werd ontdekt en aangekondigd door Burak op Twitter.
Soms moeten we eerst de duisternis aanraken om het licht te vinden.https://t.co/dhCwF0DxpE
— Burak (@brqgoo) 1 november 2022
In de blockchain-transactie die werd gebruikt om de bug aan te tonen, liet de ontwikkelaar een ironisch bericht achter waarin de oorzaak van het probleem werd aangegeven: "you'll run cln. En je zult gelukkig zijn.”
De ontwikkelaar was ook verantwoordelijk voor het opsporen van een soortgelijke bug op 9 oktober. In dat geval creëerde Burak een 998-van-999 multisig-transactie die prompt werd afgewezen door zowel LND- als btcd-knooppunten. Dit resulteerde erin dat het hele blok waarin de transactie was geregistreerd, werd afgewezen, wat leidde tot een magere transactievergoeding van slechts $ 5.16.
Hoewel deze bug velen in de Bitcoin-gemeenschap misschien blij heeft gemaakt, was het technisch gezien nog steeds een exploit van het systeem en werd het kort daarna gepatcht.
Deze kwetsbaarheid zou ook zijn gemeld door white hat-hacker Anthony Towns, die de informatie doorstuurde naar een leidende Lightning Network-ontwikkelaar.
Voor wat het waard is, ik heb deze bug ook opgemerkt en bekendgemaakt aan @rosbief ongeveer twee weken geleden. De btcd-repo lijkt geen rapportagebeleid te hebben voor beveiligingsbugs, dus ik weet niet zeker of iemand anders die aan btcd werkt het te weten is gekomen.
— Anthony Steden (@ajtowns) 1 november 2022
Ondanks de snelle oplossing van deze twee bugs, leidden ze tot oproepen voor een bug bounty-programma voor het Lightning Network - aangezien deze werden gemeld vanwege niets meer dan te goeder trouw. Zonder prikkels voor ethische hackers om soortgelijke bugs te ontdekken en te rapporteren, is het niet te zeggen wie toekomstige problemen als eerste ontdekt.
Binance gratis $ 100 (exclusief): Gebruik deze link om u te registreren en de eerste maand $ 100 gratis en 10% korting te ontvangen op Binance Futures (termen).
PrimeXBT Speciale aanbieding: Gebruik deze link om te registreren en de POTATO50-code in te voeren om tot $7,000 op uw stortingen te ontvangen.
Bron: https://cryptopotato.com/emergency-hotfix-deployed-to-prevent-disruption-to-the-lightning-network/