หลังจาก v0.15.3 ล่าสุด อัปเดตเป็น Lightning Network ช่องโหว่ด้านความปลอดภัยที่สำคัญถูกค้นพบโดยนักวิจัยด้านความปลอดภัยทางไซเบอร์อิสระที่อาจอนุญาตให้ผู้ไม่หวังดีหยุดโหนด lnd จากการแยกวิเคราะห์ธุรกรรม
Lightning Network Daemon (lnd) เป็นการใช้งานอย่างเต็มรูปแบบของ Lightning Network Node พร้อมด้วยบริการและปลั๊กอินที่อนุญาตให้เชื่อมต่อกับเครือข่าย Lightning ที่เหลือ ซึ่งเป็นบล็อคเชน Layer-2 สำหรับ Bitcoin ที่ช่วยให้สัญญาอัจฉริยะสามารถ ทำงานบนเครือข่าย BTC
อัปเดตเปิดตัวเพียงไม่กี่ชั่วโมงหลังการค้นพบ
ขอบคุณงานของ Burak สมาชิกชุมชนที่จับตามองและ devs ที่ตอบสนอง โปรแกรมแก้ไขด่วน v0.15.4-beta ถูกปล่อยออกมาประมาณสามชั่วโมงหลังจากพบจุดบกพร่อง
หากปล่อยทิ้งไว้โดยไม่มีใครดูแล แมลงอาจมี หยุด ธุรกรรมที่ดำเนินการหากโหนดที่รับผิดชอบในการแยกวิเคราะห์ถูกโจมตีโดยผู้ไม่หวังดี
"นี่เป็นการแก้ไขด่วนฉุกเฉินเพื่อแก้ไขข้อผิดพลาดที่อาจทำให้โหนด lnd ไม่สามารถแยกวิเคราะห์ธุรกรรมบางอย่างที่มีอินพุตพยานจำนวนมาก"
นักพัฒนาซอฟต์แวร์ที่ใช้ Lightning Network มีเวลาสองสัปดาห์ในการอัปเดต หลังจากนั้น Timelock ของช่องสัญญาณที่มีอยู่จะหมดอายุและทำให้โหนดมีช่องโหว่อีกครั้ง
ข้อผิดพลาดที่สำคัญครั้งที่สองในหนึ่งเดือน ค้นพบโดย Burak
บั๊กล่าสุด ซึ่งส่งผลต่อ btcd wire parsing library ของ Lightning Network ถูกค้นพบและประกาศโดย Burak บน Twitter
บางครั้งการจะพบแสงสว่าง เราต้องสัมผัสความมืดก่อนhttps://t.co/dhCwF0DxpE
— บูรัค (@brqgoo) November 1, 2022
ในธุรกรรมบล็อกเชนที่ใช้เพื่อแสดงจุดบกพร่อง นักพัฒนาได้ทิ้งข้อความแบบปากต่อปากเพื่อระบุสาเหตุของปัญหา: “คุณจะเรียกใช้ cln แล้วคุณจะมีความสุข”
นักพัฒนาซอฟต์แวร์ยังรับผิดชอบในการค้นพบจุดบกพร่องที่คล้ายกันในวันที่ 9 ตุลาคม ในกรณีดังกล่าว Burak ได้สร้างธุรกรรม multisig 998 จาก 999 รายการซึ่งถูกปฏิเสธโดยทันทีโดยทั้งโหนด LND และ btcd ส่งผลให้บล็อกทั้งหมดที่ธุรกรรมถูกบันทึกถูกปฏิเสธ นำไปสู่ค่าธรรมเนียมการทำธุรกรรมเพียง 5.16 ดอลลาร์เท่านั้น
แม้ว่าข้อผิดพลาดนี้อาจทำให้หลายคนในชุมชน Bitcoin มีความสุข แต่ก็ยังคงเป็นการใช้ประโยชน์จากระบบในทางเทคนิคและได้รับการแก้ไขหลังจากนั้นไม่นาน
ช่องโหว่นี้ถูกกล่าวหาว่ารายงานโดยแฮ็กเกอร์หมวกขาว Anthony Towns ซึ่งส่งต่อข้อมูลไปยังผู้พัฒนาเครือข่าย Lightning Network
สิ่งที่คุ้มค่า ฉันยังสังเกตเห็นข้อบกพร่องนี้และเปิดเผยให้ @roasbeef ประมาณสองสัปดาห์ก่อน ดูเหมือนว่า btcd repo จะไม่มีนโยบายการรายงานสำหรับจุดบกพร่องด้านความปลอดภัย ดังนั้นไม่แน่ใจว่ามีใครที่ทำงานบน btcd ทราบเกี่ยวกับเรื่องนี้หรือไม่
— แอนโธนี่ทาวน์ (@ajtowns) November 1, 2022
แม้จะมีการแก้ไขข้อบกพร่องทั้งสองนี้อย่างรวดเร็ว แต่ก็นำไปสู่การเรียกร้องให้มีโปรแกรมหาจุดบกพร่องสำหรับเครือข่าย Lightning เนื่องจากสิ่งเหล่านี้ได้รับรายงานเนื่องจากไม่มีอะไรมากไปกว่าความเชื่อที่ดี หากไม่มีสิ่งจูงใจให้แฮ็กเกอร์ที่มีจริยธรรมในการค้นหาและรายงานข้อบกพร่องที่คล้ายกัน ก็ไม่มีใครบอกได้ว่าใครอาจค้นพบปัญหาในอนาคตก่อน
Binance ฟรี $100 (พิเศษ): ใช้ลิงก์นี้ เพื่อลงทะเบียนและรับฟรี $100 และค่าธรรมเนียม 10% สำหรับ Binance Futures เดือนแรก (เงื่อนไขการใช้บริการ).
ข้อเสนอพิเศษ PrimeXBT: ใช้ลิงก์นี้ เพื่อลงทะเบียนและป้อนรหัส POTATO50 เพื่อรับสูงถึง $7,000 จากเงินฝากของคุณ
ที่มา: https://cryptopotato.com/emergency-hotfix-deployed-to-prevent-disruption-to-the-lightning-network/