Efter den senaste versionen 0.15.3. uppdatering till Lightning Network, upptäcktes en kritisk säkerhetsrisk av oberoende cybersäkerhetsforskare som potentiellt skulle tillåta dåliga aktörer att stoppa lnd-noder från att analysera transaktioner.
En Lightning Network Daemon (lnd) är en fullständig implementering av en Lightning Network Node, tillsammans med tjänsterna och plugin-program som gör att den kan ansluta till resten av Lightning-nätverket, en Layer-2 blockchain för Bitcoin som möjliggör smarta kontrakt för att köras på BTC-nätverket.
Uppdatering släpptes bara timmar efter upptäckt
Tack vare den vaksamma communitymedlemmen Buraks arbete och lyhörda utvecklare släpptes hotfix v0.15.4-beta cirka tre timmar efter att felet upptäcktes.
Om den lämnas obevakad kan felet ha slutade transaktioner som går igenom om noderna som ansvarar för att analysera dem hade attackerats av dåliga aktörer.
"Detta är en nödlösning för att fixa en bugg som kan göra att lnd-noder inte kan analysera vissa transaktioner som har ett mycket stort antal vittnesindata."
Utvecklare som använder Lightning Network har nu två veckor på sig att tillämpa uppdateringen. Efteråt kommer kanaltidslås som för närvarande är på plats att löpa ut och göra noderna sårbara igen.
Andra kritiska buggen på en månad, upptäckt av Burak
Den senaste buggen, som påverkade btcd-trådanalysbiblioteket i Lightning Network, upptäcktes och tillkännagavs av Burak på Twitter.
Ibland för att hitta ljuset måste vi först röra vid mörkret.https://t.co/dhCwF0DxpE
— Burak (@brqgoo) November 1, 2022
I blockchain-transaktionen som användes för att demonstrera buggen, lämnade utvecklaren ett tungt-in-cheek-meddelande som anger grundorsaken till problemet: "du kommer att köra cln. Och du kommer att bli glad."
Utvecklaren var också ansvarig för att avslöja en liknande bugg den 9 oktober. I det fallet skapade Burak en 998-av-999 multisig-transaktion som omedelbart avvisades av både LND- och btcd-noder. Detta resulterade i att hela blocket som transaktionen registrerades i avvisades, vilket ledde till en ynka transaktionsavgift på endast $5.16.
Även om denna bugg kan ha gjort många i Bitcoin-communityt glada, var det fortfarande tekniskt sett ett utnyttjande av systemet och korrigerades kort efter.
Denna sårbarhet hade också rapporterats av White Hat-hackeren Anthony Towns, som vidarebefordrade informationen till en ledande Lightning Network-utvecklare.
För vad det är värt, märkte jag också denna bugg och avslöjade den för @roasbeef för ungefär två veckor sedan. Btcd-repo verkar inte ha en rapporteringspolicy för säkerhetsbuggar, så inte säker på om någon annan som arbetar med btcd fick reda på det.
— Anthony Towns (@ajtowns) November 1, 2022
Trots den snabba lösningen på dessa två buggar, ledde de till uppmaningar om ett bugg-bounty-program för Lightning Network – eftersom dessa rapporterades på grund av inget annat än god tro. Utan incitament för etiska hackare att upptäcka och rapportera liknande buggar, är det ingen uppgift om vem som kan upptäcka framtida problem först.
Binance Free $100 (exklusivt): Använd den här länken att registrera dig och få $100 gratis och 10% rabatt på Binance Futures första månaden (villkor).
PrimeXBT Specialerbjudande: Använd den här länken för att registrera och ange POTATO50-koden för att få upp till $7,000 XNUMX på dina insättningar.
Källa: https://cryptopotato.com/emergency-hotfix-deployed-to-prevent-disruption-to-the-lightning-network/