Nach dem letzten v0.15.3. Update des Lightning Network wurde von unabhängigen Cybersicherheitsforschern eine kritische Sicherheitslücke entdeckt, die es böswilligen Akteuren möglicherweise ermöglichen würde, lnd-Knoten daran zu hindern, Transaktionen zu analysieren.
Ein Lightning Network Daemon (lnd) ist eine vollständige Implementierung eines Lightning Network Node, zusammen mit den Diensten und Plug-Ins, die es ihm ermöglichen, sich mit dem Rest des Lightning-Netzwerks zu verbinden, einer Layer-2-Blockchain für Bitcoin, die Smart Contracts ermöglicht im BTC-Netzwerk ausgeführt werden.
Update nur wenige Stunden nach der Entdeckung veröffentlicht
Dank der Arbeit des wachsamen Community-Mitglieds Burak und der reaktionsschnellen Entwickler wurde Hotfix v0.15.4-beta etwa drei Stunden nach Entdeckung des Fehlers veröffentlicht.
Wenn es unbeaufsichtigt gelassen wird, könnte der Fehler aufgetreten sein gestoppt Transaktionen, die durchlaufen werden, wenn die Knoten, die für das Parsen verantwortlich sind, von böswilligen Akteuren angegriffen wurden.
„Dies ist eine Notfall-Hotfix-Version zur Behebung eines Fehlers, der dazu führen kann, dass lnd-Knoten bestimmte Transaktionen mit einer sehr großen Anzahl von Zeugeneingaben nicht analysieren können.“
Entwickler, die das Lightning Network verwenden, haben jetzt zwei Wochen Zeit, um das Update anzuwenden. Danach laufen die derzeit bestehenden Channel-Timelocks ab und machen die Nodes wieder angreifbar.
Zweiter kritischer Fehler in einem Monat, entdeckt von Burak
Der jüngste Fehler, der die btcd-Wire-Parsing-Bibliothek des Lightning Network betraf, wurde von Burak auf Twitter entdeckt und angekündigt.
Um das Licht zu finden, müssen wir manchmal zuerst die Dunkelheit berühren.https://t.co/dhCwF0DxpE
— Burak (@brqgoo) 1. November 2022
In der Blockchain-Transaktion, die verwendet wurde, um den Fehler zu demonstrieren, hinterließ der Entwickler eine augenzwinkernde Nachricht, die die Hauptursache des Problems angibt: „Sie werden cln ausführen. Und du wirst glücklich sein.“
Der Entwickler war auch für die Aufdeckung eines ähnlichen Fehlers am 9. Oktober verantwortlich. In diesem Fall erstellte Burak eine 998-von-999-Multisig-Transaktion, die sowohl von LND- als auch von btcd-Knoten umgehend abgelehnt wurde. Dies führte dazu, dass der gesamte Block, in dem die Transaktion aufgezeichnet wurde, abgelehnt wurde, was zu einer mageren Transaktionsgebühr von nur 5.16 $ führte.
Obwohl dieser Fehler viele in der Bitcoin-Community glücklich gemacht haben mag, war er technisch gesehen immer noch ein Exploit des Systems und wurde kurz darauf gepatcht.
Diese Schwachstelle wurde angeblich auch von dem White-Hat-Hacker Anthony Towns gemeldet, der die Informationen an einen führenden Lightning Network-Entwickler weiterleitete.
Für das, was es wert ist, habe ich diesen Fehler auch bemerkt und ihn gemeldet @roasbeef vor etwa zwei wochen. Das btcd-Repo scheint keine Melderichtlinie für Sicherheitsfehler zu haben, also bin ich mir nicht sicher, ob jemand anderes, der an btcd arbeitet, davon erfahren hat.
— Anthony Towns (@ajtowns) 1. November 2022
Trotz der schnellen Behebung dieser beiden Fehler führten sie zu Forderungen nach einem Bug-Bounty-Programm für das Lightning Network – da diese nur nach Treu und Glauben gemeldet wurden. Ohne Anreize für ethische Hacker, ähnliche Fehler zu entdecken und zu melden, lässt sich nicht sagen, wer zukünftige Probleme zuerst entdecken wird.
Binance Free $100 (exklusiv): Benutze diesen Link um sich zu registrieren und im ersten Monat $100 gratis und 10% Rabatt auf die Gebühren für Binance Futures zu erhalten (AGB).
PrimeXBT Sonderangebot: Benutze diesen Link um sich zu registrieren und den POTATO50-Code einzugeben, um bis zu $7,000 auf Ihre Einzahlungen zu erhalten.
Quelle: https://cryptopotato.com/emergency-hotfix-deployed-to-prevent-disruption-to-the-lightning-network/