Selepas v0.15.3 baru-baru ini. kemas kini kepada Rangkaian Lightning, kelemahan keselamatan kritikal telah ditemui oleh penyelidik keselamatan siber bebas yang berpotensi membenarkan pelaku jahat menghentikan nod lnd daripada menghuraikan transaksi.
Daemon Rangkaian Kilat (lnd) ialah pelaksanaan penuh Nod Rangkaian Kilat, bersama-sama dengan perkhidmatan dan pemalam yang membolehkannya menyambung ke rangkaian Lightning yang lain, blok blok Layer-2 untuk Bitcoin yang membolehkan kontrak pintar untuk dijalankan pada rangkaian BTC.
Kemas Kini Dikeluarkan Hanya Beberapa Jam Selepas Penemuan
Terima kasih kepada kerja ahli komuniti Burak yang berhati-hati dan pembangun responsif, hotfix v0.15.4-beta telah dikeluarkan kira-kira tiga jam selepas pepijat ditemui.
Jika dibiarkan tanpa pengawasan, pepijat boleh berlaku berhenti transaksi yang berlaku jika nod yang bertanggungjawab untuk menghuraikannya telah diserang oleh pelakon yang tidak baik.
"Ini ialah keluaran pembetulan hangat kecemasan untuk membetulkan pepijat yang boleh menyebabkan nod lnd tidak dapat menghuraikan transaksi tertentu yang mempunyai bilangan input saksi yang sangat besar."
Pembangun yang menggunakan Rangkaian Lightning kini mempunyai dua minggu untuk menggunakan kemas kini. Selepas itu, kunci masa saluran yang sedia ada pada masa ini akan tamat tempoh dan meninggalkan nod terdedah semula.
Pepijat Kritikal Kedua dalam Sebulan, Ditemui oleh Burak
Pepijat terbaharu, yang menjejaskan perpustakaan penghuraian wayar btcd Rangkaian Lightning, ditemui dan diumumkan oleh Burak di Twitter.
Kadang-kadang untuk mencari cahaya, kita mesti terlebih dahulu menyentuh kegelapan.https://t.co/dhCwF0DxpE
— Burak (@brqgoo) November 1, 2022
Dalam urus niaga blockchain yang digunakan untuk menunjukkan pepijat, pembangun meninggalkan mesej lidah-di-pipi yang menunjukkan punca masalah: “anda akan menjalankan cln. Dan awak akan gembira.”
Pembangun juga bertanggungjawab untuk mendedahkan pepijat yang sama pada 9 Oktober. Dalam keadaan itu, Burak mencipta transaksi multisig 998 daripada 999 yang telah ditolak serta-merta oleh kedua-dua nod LND dan btcd. Ini mengakibatkan keseluruhan blok urus niaga direkodkan sebagai ditolak, membawa kepada yuran transaksi yang sedikit sebanyak hanya $5.16.
Walaupun pepijat ini mungkin telah menggembirakan ramai dalam komuniti Bitcoin, ia secara teknikalnya masih merupakan eksploitasi sistem dan telah ditambal tidak lama kemudian.
Kerentanan ini juga didakwa telah dilaporkan oleh penggodam topi putih Anthony Towns, yang memajukan maklumat itu kepada pembangun Rangkaian Lightning utama.
Untuk nilainya, saya juga melihat pepijat ini dan mendedahkannya kepada @roasbeef kira-kira dua minggu lalu. Repo btcd nampaknya tidak mempunyai dasar pelaporan untuk pepijat keselamatan, jadi tidak pasti jika orang lain yang bekerja pada btcd mengetahuinya.
— Anthony Towns (@ajtowns) November 1, 2022
Walaupun penyelesaian pantas untuk kedua-dua pepijat ini, mereka membawa kepada panggilan untuk program hadiah pepijat untuk Rangkaian Lightning - kerana ini dilaporkan kerana tidak lebih daripada niat baik. Tanpa insentif untuk penggodam beretika menemui dan melaporkan pepijat yang serupa, tiada siapa yang boleh menemui isu masa depan terlebih dahulu.
Binance Percuma $100 (Eksklusif): Gunakan pautan ini untuk mendaftar dan menerima $100 percuma dan potongan 10% yuran pada Binance Futures bulan pertama (segi).
Tawaran Istimewa PrimeXBT: Gunakan pautan ini untuk mendaftar & masukkan kod POTATO50 untuk menerima sehingga $7,000 pada deposit anda.
Sumber: https://cryptopotato.com/emergency-hotfix-deployed-to-prevent-disruption-to-the-lightning-network/