Pagkatapos ng kamakailang v0.15.3. update sa Lightning Network, isang kritikal na kahinaan sa seguridad ang natuklasan ng mga independiyenteng mananaliksik sa cybersecurity na posibleng magpapahintulot sa mga masasamang aktor na pigilan ang mga node sa pag-parse ng mga transaksyon.
Ang Lightning Network Daemon (lnd) ay isang buong pagpapatupad ng isang Lightning Network Node, kasama ang mga serbisyo at plug-in na nagpapahintulot nitong kumonekta sa natitirang bahagi ng Lightning network, isang Layer-2 blockchain para sa Bitcoin na nagbibigay-daan sa mga matalinong kontrata na patakbuhin sa BTC network.
Inilabas ang Update Ilang Oras Lamang Pagkatapos ng Pagtuklas
Salamat sa maingat na gawain ng miyembro ng komunidad na si Burak at tumutugon na mga dev, inilabas ang hotfix v0.15.4-beta mga tatlong oras pagkatapos matuklasan ang bug.
Kung hindi naaalagaan, maaaring magkaroon ang bug arestado mga transaksyong pinagdadaanan kung ang mga node na responsable sa pag-parse sa kanila ay inatake ng mga masasamang aktor.
"Ito ay isang emergency hot fix release upang ayusin ang isang bug na maaaring maging sanhi ng mga lnd node na hindi ma-parse ang ilang partikular na transaksyon na may napakaraming bilang ng mga input ng saksi."
Ang mga dev na gumagamit ng Lightning Network ay mayroon na ngayong dalawang linggo para ilapat ang update. Pagkatapos, ang mga timelock ng channel na kasalukuyang nasa lugar ay mag-e-expire at iiwang masugatan muli ang mga node.
Pangalawang Kritikal na Bug sa Isang Buwan, Natuklasan ni Burak
Ang pinakabagong bug, na nakaapekto sa btcd wire parsing library ng Lightning Network, ay natuklasan at inihayag ni Burak sa Twitter.
Minsan para mahanap ang liwanag, kailangan muna nating hawakan ang dilim.https://t.co/dhCwF0DxpE
— Burak (@brqgoo) Nobyembre 1, 2022
Sa transaksyon ng blockchain na ginamit upang ipakita ang bug, nag-iwan ang developer ng isang mensahe sa pisngi na nagpapahiwatig ng ugat ng problema: “tatakbo ka cln. At magiging masaya ka.”
Responsable din ang developer sa pagtuklas ng katulad na bug noong ika-9 ng Oktubre. Sa pagkakataong iyon, gumawa si Burak ng 998-out-of-999 na multisig na transaksyon na kaagad na tinanggihan ng parehong LND at btcd node. Nagresulta ito sa kabuuan ng block na naitala ang transaksyon na tinanggihan, na humahantong sa isang napakaliit na bayad sa transaksyon na $5.16 lamang.
Bagama't ang bug na ito ay maaaring nagpasaya sa marami sa komunidad ng Bitcoin, teknikal pa rin itong pagsasamantala sa system at na-patch sa ilang sandali.
Ang kahinaan na ito ay iniulat din umano ng white hat hacker na si Anthony Towns, na nagpasa ng impormasyon sa isang lead Lightning Network dev.
Para sa kung ano ang halaga nito, napansin ko rin ang bug na ito at isiniwalat ito sa @roasbeef mga dalawang linggo na ang nakalipas. Ang btcd repo ay tila walang patakaran sa pag-uulat para sa mga bug sa seguridad, kaya hindi sigurado kung may ibang nagtatrabaho sa btcd na nalaman ang tungkol dito.
— Anthony Towns (@ajtowns) Nobyembre 1, 2022
Sa kabila ng mabilis na pagresolba sa dalawang bug na ito, humantong sila sa mga tawag para sa isang bug bounty program para sa Lightning Network – dahil ang mga ito ay iniulat dahil sa walang iba kundi mabuting pananampalataya. Kung walang mga insentibo para sa mga etikal na hacker na tumuklas at mag-ulat ng mga katulad na bug, walang masasabi kung sino ang unang makakatuklas ng mga isyu sa hinaharap.
Binance Free $100 (Eksklusibo): Gamitin ang link na ito para magparehistro at makatanggap ng $100 na libre at 10% diskwento sa mga bayarin sa Binance Futures unang buwan (takda).
Espesyal na Alok ng PrimeXBT: Gamitin ang link na ito para magparehistro at maglagay ng POTATO50 code para makatanggap ng hanggang $7,000 sa iyong mga deposito.
Pinagmulan: https://cryptopotato.com/emergency-hotfix-deployed-to-prevent-disruption-to-the-lightning-network/