Kas LND on katki? Või oli naeruväärselt suur tehing, mis selle tühistas, otsene rünnak LND-rakenduse vastu? Kas see kõik mõjutab suuremat välguvõrku? Ja kuidas on lood bitcoini võrgustikuga? See lugu algab kõikvõimalikest küsimustest ja ei saa lubada, et neile kõigile vastatakse. Mäng käib. Midagi toimub. Raske on aga kindlaks teha, mis. Ja tundub, et paljastatakse rohkem, nagu meil pole ikka veel kõiki andmeid.
Uurime, mis meil on, ja proovime selle põhjani jõuda. Ja kõik algab kokkuvõttest senisest loost.
Mis on LND-ga ja nende tohutute tehingutega?
9. oktoobril alustas arendaja nimega teatas Burak "Ma tegin just 998-st 999-st Tapscripti multisigi ja selle tehingutasud maksid ainult 4.90 dollarit." See uudishimulik tehing tühistas Lightning Networki, millel jäi üks plokk toota. LND juurutamise eest vastutav Lightning Labsi meeskond andis mõne tunni jooksul välja paranduse. Juhtum tegi täiesti selgeks, et Lightning Network on endiselt pooleli ja selle rakendused on rünnakute suhtes haavatavad.
Täna sai Burak jälle insulti. "Mõnikord peame valguse leidmiseks esmalt puudutama pimedust." ta säutsus kaasnev järjekordne suur tehing. Seekord tabas mõju ainult LND sõlmed. Kõik teised jäid sünkroonis, samas kui LND jäi ummikusse. Mõnda aega said LND-sõlmed makseid suunata, kuid ei teadnud ahela olekust. Lightning Labs tunnistas viga oma ametlikes kanalites ja asus edasi töötama välja antud kiirparandus paar tundi hiljem.
Abiga @välk Labsi meeskond (h/t @guggero), meie juures @GaloyMoney ja meie CI torujuhtmed @BTCBeachWallet sõlmed värskendatakse veaparandusega 31 ploki jooksul pärast tabamust 73be398c4bdc43709db7398106609eea2a7841aaf3a4fa2000dc18184faa2a7e.
Kas see võib nüüd rekordiks jääda? pic.twitter.com/Utrabq86jF— openoms (@openoms) November 1, 2022
Rakenduskrüptograafia konsultant, et selgitada meile teistele tagajärgi Peter Todd analüüsis olukord. "Kuna LN ei ole konsensussüsteem, on erinevate rakenduste olemasolu hea. Osa võrgust on praegu maas. Kuid ülejäänud üleval püsimisest pole mingit kahju. Vahepeal on probleemi algpõhjus lollakas btcd kood," säutsus ta.
Siiani kõlab kõik hästi. Näib, et tehingu eesmärk tõstab esile haavatavuse, põhjustamata märkimisväärset kahju. Asi on selles, Burak kirjutas: „sa jooksed cln. ja sa oled õnnelik” jaotises OP_RETURN DATA. Ja "cln" viitab Core Lightningile, LND peamisele võistlusele. A Blockstream toode.
BTC hinnadiagramm 11 Bitstampis | Allikas: BTC / USD TradingView.com
Kas keegi teatas LND veast enne rünnakut?
Veel üks pseudonüümiga arendaja kirjutas Burakile, "Eetiline asi, mida teha, on haavatavuse avalikustamine Lightning Labsi meeskonnale, selle asemel, et eemaldada enamik võrgu sõlmedest." Siis veel üks arendaja nimega Anthony Towns tarnitud vajalik süžee pööre: "Mis see väärt on, märkasin ka seda viga ja avaldasin selle Olaoluwa Osuntokunile umbes kaks nädalat tagasi. Tundub, et btcd repol ei ole turvavigade teatamise poliitikat, seega pole kindel, kas keegi teine btcd-ga tegelev sai sellest teada.
"Esialgne teade oli valesse kohta ja jäi vahele, järgnesin nädal hiljem 19. päeval ja Olaoluwa Osuntokun vastas mõne mõttega, miks seda juba ei tabatud ja kuidas paremini teha," täpsustas Towns. Hiljem kinnitas Osuntokun teadet ja paljastas: "Kuna postitus oli avalik, kustutasin selle ja võtsin temaga ühendust e-posti teel. Meil oli väikeväljaande jaoks valmis plaaster (koos mõne muu mälu optimeerimisega), kuid see takistas seda.
Ka @ajtowns võttis minuga ühendust, esitades probleemi minu avalikus btcd fork'is koos üksikasjadega, kuna postitus oli avalik, kustutasin selle ja võtsin temaga ühendust e-posti teel
meil oli plaaster valmis väikese väljalaske jaoks (koos mõne muu mälu optimeerimisega), kuid see takistas seda
— Olaoluwa Osuntokun (@roasbeef) November 1, 2022
Ta juhtis tähelepanu ka olulisele asjale: "Ma ei kujutanud ette, et keegi töötab selle kaevandamiseks kaevuritega." Selle konkreetse vea läbimiseks oli vaja kaevandajate osalust. Selles rünnakus võis olla rohkem, kui esmapilgul paistab. Tehinguga kaasnes aga üle 700 dollari tasud. Sellest üüratust tasust võis piisata ebatavalise tehingu sooritamiseks.
Kas Blockstream vastutab rünnaku eest?
Siin läheb kõik keeruliseks, sest tundub, et Burakit sponsoreeris varem Blockstream, et ta töötas Bitmatrixis vedelate lepingutega. Tundub, et Lightning Labsi tegevjuht Elizabeth Starks süüdistab mitmes tollal kustutatud säutsudes Blockstreami vähemalt rünnakute sponsorluses. Kui Blockstreami töötaja küsis, vastas Starks: "Kas see pole tõsi, et see on sponsoreeritud arendaja?" ja "Tundub, et olete kustutatud säutsu välja jätnud, kus ma konkreetselt mainisin, et oli selge, et see rünnak ei olnud osa sponsorlusest."
Kas see pole tõsi, et tegemist on sponsoreeritud arendajaga? Minu mõte ei seisnenud selles, et *seda* tööd rahastati, kuid nagu te kirjutasite, on seda inimest "kindlasti sponsoreeritud blockstream". pic.twitter.com/s1SHZnnbo5
— Elizabeth Stark 🍠 (@starkness) November 1, 2022
Sisestage Suredbitsi asutaja Chris Stewart, kes viis selle veelgi kaugemale ja palus Adam Backil otsekohe kinnitada, et Blockstream ei sponsoreeri neid LND-vastaseid rünnakuid põhivälgu reklaamivahendina. Adam Back eitas igasugust sponsorlust ja selgitas, mida Burak tema arvates silmas pidas. „Op_return sõnumist võib järeldada riske, mis kaasnevad muu kui Bitcoini tuumaga täissõlme kasutamisega konsensuse saavutamiseks ja Core Lightning kasutab Bitcoini tuuma. võib-olla Burak teeb seda empiiriliselt. See on LANGSECi turvalisusest tulenev teadaolev piirang, mille bitipõhiselt ühildumine on peaaegu võimatu.
Et kõik magama panna, Blockstreami uurija Christian Decker läks plaadile ja säutsus: "See on kohutav, Core Lightningi meeskond ei salli mis tahes laadi rünnakuid. Ja konkurendi nimetamine on tõesti halva maitsega. Järgige vastutustundlikke avalikustamisi ja vältige selliseid reklaamitrikke, see ei aita ja põhjustab palju probleeme!
Esiletõstetud pilt Bethany Laird on Unsplash | Edetabelid TradingView
Allikas: https://bitcoinist.com/huge-transaction-brought-down-lnd-blockstream/