לאחר הגרסה האחרונה של 0.15.3. עדכון ל-Lightning Network, התגלתה פגיעות אבטחה קריטית על ידי חוקרי אבטחת סייבר עצמאיים, שעלולה לאפשר לשחקנים גרועים לעצור את צמתי ה-Lnd מניתוח עסקאות.
A Lightning Network Daemon (lnd) הוא יישום מלא של Lightning Network Node, יחד עם השירותים והתוספים המאפשרים לו להתחבר לשאר רשת Lightning, Layer-2 blockchain לביטקוין המאפשר חוזים חכמים להפעיל ברשת BTC.
עדכון פורסם שעות ספורות לאחר הגילוי
הודות לעבודתו של חבר הקהילה הצופה בורק ולמפתחים המגיבים, התיקון החם v0.15.4-beta שוחרר כשלוש שעות לאחר גילוי הבאג.
אם הושאר ללא השגחה, יכול להיות שהבאג נעצר עסקאות שעוברות אם הצמתים האחראים לניתוחן הותקפו על ידי שחקנים גרועים.
"זוהי שחרור חירום של תיקון חם לתיקון באג שעלול לגרום לצמתים לא להיות מסוגלים לנתח עסקאות מסוימות שיש להן מספר גדול מאוד של כניסות עדים."
למפתחים המשתמשים ברשת Lightning יש כעת שבועיים להחיל את העדכון. לאחר מכן, מנעולי זמן של ערוץ הקיימים כעת יפוג וישאירו את הצמתים פגיעים שוב.
באג קריטי שני בחודש, התגלה על ידי בורק
הבאג האחרון, שהשפיע על ספריית ניתוח החוטים של btcd של רשת Lightning, התגלה והכריז על ידי בורק בטוויטר.
לפעמים כדי למצוא את האור, עלינו קודם כל לגעת בחושך.https://t.co/dhCwF0DxpE
- בורק (@brqgoo) 1 בנובמבר 2022
בעסקת הבלוקצ'יין ששימשה להדגמת הבאג, המפתח השאיר הודעת לשון המציינת את שורש הבעיה: "תפעיל את cln. ואתה תהיה מאושר."
המפתח היה אחראי גם לחשיפת באג דומה ב-9 באוקטובר. במקרה זה, בורק יצר עסקת מולטי-סיג של 998 מתוך 999 שנדחתה מיד על ידי צמתי LND ו-btcd. כתוצאה מכך, כל החסימה שבה נרשמה העסקה נדחתה, מה שהוביל לעמלת עסקה עלובה של 5.16$ בלבד.
למרות שהבאג הזה אולי שימח רבים בקהילת הביטקוין, הוא עדיין היה ניצול טכני של המערכת ותוקן זמן קצר לאחר מכן.
פגיעות זו דווחה לכאורה גם על ידי האקר כובע לבן אנתוני טאונס, שהעביר את המידע למפתח מוביל של Lightning Network.
בשביל מה שזה שווה, גם אני שמתי לב לבאג הזה וחשפתי אותו בפניו @roasbeef לפני כשבועיים. נראה שלריפו של btcd אין מדיניות דיווח על באגי אבטחה, אז לא בטוח אם מישהו אחר שעובד על btcd גילה את זה.
- אנתוני טאון (@ajtowns) 1 בנובמבר 2022
למרות הפתרון המהיר לשני הבאגים הללו, הם הובילו לקריאות לתוכנית פרס באגים עבור רשת Lightning - שכן אלה דווחו בגלל תום לב בלבד. ללא תמריצים להאקרים אתיים לגלות ולדווח על באגים דומים, אין לדעת מי עשוי לגלות בעיות עתידיות קודם.
Binance חינם $100 (בלעדי): השתמש בקישור זה להירשם ולקבל 100$ בחינם ו-10% הנחה על עמלות על Binance Futures בחודש הראשון (מונחים).
מבצע מיוחד של PrimeXBT: השתמש בקישור זה כדי להירשם ולהזין את קוד POTATO50 כדי לקבל עד $7,000 על ההפקדות שלך.
מקור: https://cryptopotato.com/emergency-hotfix-deployed-to-prevent-disruption-to-the-lightning-network/