Dopo la recente v0.15.3. aggiornamento alla rete Lightning, è stata scoperta una vulnerabilità critica di sicurezza da ricercatori indipendenti di sicurezza informatica che potenzialmente consentirebbe a malintenzionati di impedire ai nodi lnd di analizzare le transazioni.
Un Lightning Network Daemon (lnd) è un'implementazione completa di un Lightning Network Node, insieme ai servizi e ai plug-in che gli consentono di connettersi al resto della rete Lightning, una blockchain Layer-2 per Bitcoin che consente agli smart contract di essere eseguito sulla rete BTC.
Aggiornamento rilasciato poche ore dopo il rilevamento
Grazie al lavoro attento del membro della comunità Burak e agli sviluppatori reattivi, l'hotfix v0.15.4-beta è stato rilasciato circa tre ore dopo la scoperta del bug.
Se lasciato incustodito, il bug avrebbe potuto interrompere il passaggio delle transazioni se i nodi responsabili dell'analisi delle stesse fossero stati attaccati da malintenzionati.
"Questa è una versione di hot fix di emergenza per correggere un bug che può impedire ai nodi lnd di analizzare determinate transazioni che hanno un numero molto elevato di input di controllo."
Gli sviluppatori che utilizzano Lightning Network hanno ora due settimane per applicare l'aggiornamento. Successivamente, i timelock dei canali attualmente in vigore scadranno e lasceranno nuovamente i nodi vulnerabili.
Secondo bug critico in un mese, scoperto da Burak
Il bug più recente, che ha interessato la libreria btcd wire parsing del Lightning Network, è stato scoperto e annunciato da Burak su Twitter.
A volte per trovare la luce, dobbiamo prima toccare l'oscurità. https://t.co/dhCwF0DxpE
— Burak (@brqgoo) 1 novembre 2022
Nella transazione blockchain utilizzata per dimostrare il bug, lo sviluppatore ha lasciato un messaggio ironico indicando la causa principale del problema: “Eseguirai cln. E sarai felice”.
Lo sviluppatore è stato anche responsabile della scoperta di un bug simile il 9 ottobre. In quel caso, Burak ha creato una transazione multisig 998 su 999 che è stata prontamente rifiutata da entrambi i nodi LND e btcd. Ciò ha comportato il rifiuto dell'intero blocco in cui è stata registrata la transazione, portando a una misera commissione di transazione di soli $ 5,16.
Sebbene questo bug possa aver reso felici molti nella comunità di Bitcoin, tecnicamente era comunque un exploit del sistema ed è stato corretto poco dopo.
Questa vulnerabilità sarebbe stata segnalata anche dall'hacker Anthony Towns, che ha inoltrato le informazioni a uno sviluppatore principale di Lightning Network.
Per quel che vale, ho notato anche questo bug e l'ho rivelato a @roasbeef circa due settimane fa. Il repository btcd non sembra avere una politica di segnalazione per i bug di sicurezza, quindi non sono sicuro se qualcun altro che lavora su btcd lo abbia scoperto.
— Anthony Towns (@ajtowns) 1 novembre 2022
Nonostante la rapida risoluzione di questi due bug, hanno portato alla richiesta di un programma di ricompense dei bug per Lightning Network, poiché questi sono stati segnalati solo per buona fede. Senza incentivi per gli hacker etici a scoprire e segnalare bug simili, non si può dire chi potrebbe scoprire prima problemi futuri.
L'aggiornamento rapido post emergenza distribuito per prevenire interruzioni alla rete Lightning è apparso per la prima volta su CryptoPotato .