Pärast hiljutist versiooni 0.15.3. Lightning Networki värskendusega avastasid sõltumatud küberjulgeolekuteadlased kriitilise turvaauku, mis võib potentsiaalselt võimaldada halbadel osalejatel peatada teiste sõlmede tehingute sõelumine.
Lightning Network Deemon (lnd) on Lightning Network Node'i täielik teostus koos teenuste ja pistikprogrammidega, mis võimaldavad sellel ühenduda ülejäänud Lightningi võrguga, Bitcoini kihi 2 plokiahel, mis võimaldab nutikaid lepinguid sõlmida. käivitada BTC võrgus.
Värskendus avaldati vaid tunnid pärast avastamist
Tänu valvsa kogukonnaliikme Buraki tööle ja tundlikele arendajatele avaldati käigultparandus v0.15.4-beeta umbes kolm tundi pärast vea avastamist.
Kui jäetakse järelevalveta, võis viga olla peatatud tehingud, mis läbivad, kui nende sõelumise eest vastutavad sõlmed olid rünnanud halvad osalejad.
"See on kiirparanduse hädaolukorra väljalase vea parandamiseks, mis võib põhjustada selle, et kohalikud sõlmed ei saa sõeluda teatud tehinguid, millel on väga palju tunnistaja sisendeid."
Lightning Networki kasutavatel arendajatel on nüüd värskenduse rakendamiseks aega kaks nädalat. Seejärel aeguvad praegu kehtivad kanali ajalukud ja jätavad sõlmed uuesti haavatavaks.
Teine kriitiline viga kuu jooksul, mille avastas Burak
Burak avastas ja teatas Twitteris uusima vea, mis mõjutas Lightning Networki btcd-juhtmete parsimise teeki.
Mõnikord peame valguse leidmiseks esmalt puudutama pimedust.https://t.co/dhCwF0DxpE
— Burak (@brqgoo) November 1, 2022
Vea demonstreerimiseks kasutatud plokiahela tehingus jättis arendaja keelelise sõnumi, mis viitas probleemi algpõhjusele: „sa käivitad cln. Ja sa saad õnnelikuks."
Arendaja vastutas ka sarnase vea paljastamise eest 9. oktoobril. Sel juhul lõi Burak 998-st 999-st multisig-tehingu, mille nii LND kui ka btcd sõlmed lükkasid kohe tagasi. Selle tulemusel lükati kogu tehing registreeritud blokk tagasi, mille tulemuseks oli tühine tehingutasu, mis oli vaid 5.16 dollarit.
Kuigi see viga võis paljusid Bitcoini kogukonnas õnnelikuks teha, oli see siiski tehniliselt süsteemi ärakasutamine ja see parandati varsti pärast seda.
Väidetavalt oli sellest haavatavusest teatanud ka valge mütsi häkker Anthony Towns, kes edastas teabe Lightning Networki juhtivale arendajale.
Mida see väärt on, märkasin ka seda viga ja avalikustasin selle @roasbeef umbes kaks nädalat tagasi. Tundub, et btcd repol ei ole turvavigade teatamise poliitikat, seega pole kindel, kas keegi teine btcd-ga tegelev sai sellest teada.
— Anthony Towns (@ajtowns) November 1, 2022
Hoolimata nende kahe vea kiirest lahendamisest, kutsuti esile Lightning Networki vigade hüvitamise programm – kuna neist teatati ainult heausksuse tõttu. Kui eetilistel häkkeritel pole stiimuleid sarnaseid vigu avastama ja neist teatama, pole võimalik öelda, kes võib tulevasi probleeme esimesena avastada.
Binance tasuta 100 $ (eksklusiivne): Kasuta seda linki registreeruda ja saada Binance Futuresi esimesel kuul 100 dollarit tasuta ja 10% allahindlust (tingimused).
PrimeXBT eripakkumine: Kasuta seda linki registreerumiseks ja sisestage POTATO50 kood, et saada kuni 7,000 dollarit oma sissemaksete pealt.
Allikas: https://cryptopotato.com/emergency-hotfix-deployed-to-prevent-disruption-to-the-lightning-network/