kucoin

Notfall-Hotfix bereitgestellt, um eine Unterbrechung des Lightning-Netzwerks zu verhindern


Nach dem letzten v0.15.3. Update des Lightning Network wurde von unabhängigen Cybersicherheitsforschern eine kritische Sicherheitslücke entdeckt, die es böswilligen Akteuren möglicherweise ermöglichen würde, lnd-Knoten daran zu hindern, Transaktionen zu analysieren.

Ein Lightning Network Daemon (lnd) ist eine vollständige Implementierung eines Lightning Network Node, zusammen mit den Diensten und Plug-Ins, die es ihm ermöglichen, sich mit dem Rest des Lightning-Netzwerks zu verbinden, einer Layer-2-Blockchain für Bitcoin, die Smart Contracts ermöglicht im BTC-Netzwerk ausgeführt werden.

Update nur wenige Stunden nach der Entdeckung veröffentlicht

Dank der Arbeit des wachsamen Community-Mitglieds Burak und der reaktionsschnellen Entwickler wurde Hotfix v0.15.4-beta etwa drei Stunden nach Entdeckung des Fehlers veröffentlicht.

Wenn er unbeaufsichtigt blieb, hätte der Fehler Transaktionen stoppen können, wenn die Knoten, die für das Parsen verantwortlich sind, von böswilligen Akteuren angegriffen worden wären.

„Dies ist eine Notfall-Hotfix-Version zur Behebung eines Fehlers, der dazu führen kann, dass lnd-Knoten bestimmte Transaktionen mit einer sehr großen Anzahl von Zeugeneingaben nicht analysieren können.“

Entwickler, die das Lightning Network verwenden, haben jetzt zwei Wochen Zeit, um das Update anzuwenden. Danach laufen die derzeit bestehenden Channel-Timelocks ab und machen die Nodes wieder angreifbar.

Zweiter kritischer Fehler in einem Monat, entdeckt von Burak

Der jüngste Fehler, der die btcd-Wire-Parsing-Bibliothek des Lightning Network betraf, wurde von Burak auf Twitter entdeckt und angekündigt.

Um das Licht zu finden, müssen wir manchmal zuerst die Dunkelheit berühren.

— Burak (@brqgoo) 1. November 2022

In der Blockchain-Transaktion, die verwendet wurde, um den Fehler zu demonstrieren, hinterließ der Entwickler eine augenzwinkernde Nachricht, die die Hauptursache des Problems angibt: „Sie werden cln ausführen. Und du wirst glücklich sein.“

Der Entwickler war auch für die Aufdeckung eines ähnlichen Fehlers am 9. Oktober verantwortlich. In diesem Fall erstellte Burak eine 998-von-999-Multisig-Transaktion, die sowohl von LND- als auch von btcd-Knoten umgehend abgelehnt wurde. Dies führte dazu, dass der gesamte Block, in dem die Transaktion aufgezeichnet wurde, abgelehnt wurde, was zu einer mageren Transaktionsgebühr von nur 5,16 $ führte.

Obwohl dieser Fehler viele in der Bitcoin-Community glücklich gemacht haben mag, war er technisch gesehen immer noch ein Exploit des Systems und wurde kurz darauf gepatcht.

Diese Schwachstelle wurde angeblich auch von dem White-Hat-Hacker Anthony Towns gemeldet, der die Informationen an einen führenden Lightning Network-Entwickler weiterleitete.

Für das, was es wert ist, habe ich diesen Fehler auch bemerkt und ihn gemeldet @roasbeef vor etwa zwei wochen. Das btcd-Repo scheint keine Melderichtlinie für Sicherheitsfehler zu haben, also bin ich mir nicht sicher, ob jemand anderes, der an btcd arbeitet, davon erfahren hat.

— Anthony Towns (@ajtowns) 1. November 2022

Trotz der schnellen Behebung dieser beiden Fehler führten sie zu Forderungen nach einem Bug-Bounty-Programm für das Lightning Network – da diese nur nach Treu und Glauben gemeldet wurden. Ohne Anreize für ethische Hacker, ähnliche Fehler zu entdecken und zu melden, lässt sich nicht sagen, wer zukünftige Probleme zuerst entdecken wird.

                                    <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>  
Die mobile Version verlassen