Après la récente v0.15.3. mise à jour du Lightning Network, une vulnérabilité de sécurité critique a été découverte par des chercheurs indépendants en cybersécurité qui permettrait potentiellement à des acteurs malveillants d'empêcher les nœuds lnd d'analyser les transactions.
Un Lightning Network Daemon (lnd) est une implémentation complète d'un Lightning Network Node, ainsi que des services et des plug-ins qui lui permettent de se connecter au reste du réseau Lightning, une blockchain de couche 2 pour Bitcoin qui permet aux contrats intelligents de être exécuté sur le réseau BTC.
Mise à jour publiée quelques heures après la découverte
Grâce au travail du membre vigilant de la communauté Burak et aux développeurs réactifs, le correctif v0.15.4-beta a été publié environ trois heures après la découverte du bogue.
Si laissé sans surveillance, le bogue pourrait avoir arrêté transactions en cours si les nœuds chargés de les analyser avaient été attaqués par de mauvais acteurs.
"Il s'agit d'une version de correctif d'urgence pour corriger un bogue qui peut empêcher les nœuds lnd d'analyser certaines transactions qui ont un très grand nombre d'entrées de témoins."
Les développeurs utilisant le Lightning Network ont maintenant deux semaines pour appliquer la mise à jour. Par la suite, les verrous horaires de canal actuellement en place expireront et laisseront à nouveau les nœuds vulnérables.
Deuxième bogue critique en un mois, découvert par Burak
Le bogue le plus récent, qui a affecté la bibliothèque d'analyse de fil btcd du Lightning Network, a été découvert et annoncé par Burak sur Twitter.
Parfois, pour trouver la lumière, il faut d'abord toucher l'obscurité.https://t.co/dhCwF0DxpE
– Burak (@brqgoo) 1 novembre 2022
Dans la transaction blockchain utilisée pour démontrer le bogue, le développeur a laissé un message ironique indiquant la cause première du problème : « vous allez exécuter cln. Et vous serez heureux.
Le développeur était également responsable de la découverte d'un bogue similaire le 9 octobre. Dans ce cas, Burak a créé une transaction multisig 998 sur 999 qui a été rapidement rejetée par les nœuds LND et btcd. Cela a entraîné le rejet de l'intégralité du bloc dans lequel la transaction a été enregistrée, entraînant des frais de transaction minimes de seulement 5.16 $.
Bien que ce bogue ait pu réjouir de nombreux membres de la communauté Bitcoin, il s'agissait toujours techniquement d'un exploit du système et a été corrigé peu de temps après.
Cette vulnérabilité aurait également été signalée par le pirate informatique Anthony Towns, qui a transmis l'information à un développeur principal de Lightning Network.
Pour ce que ça vaut, j'ai aussi remarqué ce bogue et l'ai divulgué à @roasbeef il y a environ deux semaines. Le référentiel btcd ne semble pas avoir de politique de signalement des bogues de sécurité, donc je ne sais pas si quelqu'un d'autre travaillant sur btcd l'a découvert.
– Anthony Towns (@ajtowns) 1 novembre 2022
Malgré la résolution rapide de ces deux bogues, ils ont conduit à des appels à un programme de primes de bogues pour le Lightning Network – car ceux-ci ont été signalés en raison de rien de plus que de la bonne foi. Sans incitations pour les pirates éthiques à découvrir et à signaler des bogues similaires, on ne sait pas qui peut découvrir les futurs problèmes en premier.
100 $ gratuits Binance (exclusif) : Utilisez ce lien pour vous inscrire et recevoir 100 $ gratuits et 10 % de réduction sur les frais de Binance Futures le premier mois (conditions).
Offre spéciale PrimeXBT: Utilisez ce lien pour vous inscrire et entrer le code POTATO50 pour recevoir jusqu'à 7,000 XNUMX $ sur vos dépôts.
Source : https://cryptopotato.com/emergency-hotfix-deployed-to-prevent-disruption-to-the-lightning-network/