LND зламаны? Або недарэчна вялікая транзакцыя, якая дэсінхранізавала яго, была прамой атакай на рэалізацыю LND? Ці ўплывае ўсё гэта на вялікую сетку Lightning? А як жа сетка биткойн? Гэтая гісторыя пачынаецца з самых розных пытанняў, і нельга абяцаць адказаць на ўсе. Гульня ідзе. Нешта адбываецца. Праўда, цяжка вызначыць, што. І здаецца, што будзе раскрыта больш, быццам у нас яшчэ няма ўсіх даных.
Давайце праверым, што ў нас ёсць, і паспрабуем разабрацца ў гэтым. І ўсё пачынаецца з кароткага выкладу гісторыі да гэтага часу.
Што з LND і гэтымі велізарнымі транзакцыямі?
9 кастрычніка распрацоўшчык, вядомы як — абвясціў Бурак «Я толькі што зрабіў 998-з-999 tapscript multisig, і гэта каштавала ўсяго 4.90 даляра ў выглядзе камісіі за транзакцыі». Гэтая цікавая транзакцыя дэсінхранізавала Lightning Network, якая прапусціла адзін блок. Каманда Lightning Labs, адказная за ўкараненне LND, выпусціла выпраўленне на працягу некалькіх гадзін. Інцыдэнт цалкам ясна паказаў, што Lightning Network усё яшчэ знаходзіцца ў стадыі распрацоўкі, а яе рэалізацыі ўразлівыя для нападаў.
Сёння ў Бурака зноў інсульт. «Часам, каб знайсці святло, мы павінны спачатку дакрануцца да цемры» ён цвыркаюць суправаджаючы яшчэ адна вялікая транзакцыя. На гэты раз удар закрануў толькі вузлы LND. Усе астатнія заставаліся сінхранізаванымі, а LND затрымаўся. Некаторы час вузлы LND маглі накіроўваць плацяжы, але не ведалі пра стан ланцужка. Lightning Labs прызналі памылку ў сваіх афіцыйных каналах і прыступілі да працы выпраўленне, якое было выпушчана праз некалькі гадзін.
З дапамогай @ маланка Група лабараторый (ч/т @guggero), нас у @GaloyMoney і нашы канвееры CI @BTCBeachWallet вузлы абнаўляюцца з выпраўленнем памылак на працягу 31 блока пасля ўдару 73be398c4bdc43709db7398106609eea2a7841aaf3a4fa2000dc18184faa2a7e.
Ці можа гэта застацца рэкордам? pic.twitter.com/Utrabq86jF— openoms (@openoms) Лістапада 1, 2022
Каб растлумачыць наступствы для ўсіх нас, кансультант па прыкладной крыптаграфіі Пітэр Тод аналізаваў сітуацыя. «Паколькі LN _не_ сістэма кансенсусу, наяўнасць розных рэалізацый - гэта добра. Частка сеткі зараз не працуе. Але няма ніякай шкоды ў тым, каб астатнія не спалі. Між тым, асноўнай прычынай праблемы з'яўляецца памылковы код btcd», - напісаў ён у твітэры.
Пакуль усё гучыць нармальна. Здаецца, намер транзакцыі падкрэслівае ўразлівасць, не наносячы значнай шкоды. Справа ў тым, пісаў Бурак, што «запусціш cln. і вы будзеце шчаслівыя” ў OP_RETURN DATA. А «cln» адносіцца да Core Lightning, галоўнага канкурэнта LND. А Прадукт Blockstream.
Графік коштаў BTC на 11 на Bitstamp | Крыніца: BTC/USD укл TradingView.com
Хтосьці паведамляў пра памылку LND задоўга да атакі?
Яшчэ адзін распрацоўшчык пад псеўданімам — напісаў Бураку, «Этычная рэч - гэта раскрыццё ўразлівасці камандзе Lightning Labs замест ліквідацыі большасці вузлоў у сетцы». Затым быў названы яшчэ адзін распрацоўшчык Энтані Таўнс дастаўлены неабходны паварот у сюжэце: «Чаго гэта варта, я таксама заўважыў гэтую памылку і паведаміў пра яе Олаолува Осунтокуну каля двух тыдняў таму. Здаецца, у рэпазітара btcd няма палітыкі паведамлення аб памылках бяспекі, таму не ўпэўнены, ці даведаўся пра гэта хто-небудзь яшчэ, хто працуе над btcd».
«Першапачатковая справаздача была не ў тым месцы і была прапушчана. Я рушыў услед праз тыдзень, 19-га, і Олаолува Осунтокун адказаў з некаторымі думкамі аб тым, чаму гэта яшчэ не было зафіксавана і як зрабіць лепш», — удакладніў Таўнс. Пазней Осунтокун пацвердзіў справаздачу і паказаў: «Паколькі паведамленне было агульнадаступным, я выдаліў яго, а потым звязаўся з ім па электроннай пошце. У нас быў гатовы патч для мінорнага выпуску (з некаторымі іншымі аптымізацыямі памяці), але, зразумела, гэта апярэдзіла яго».
Таксама @ajtowns звязаўся са мной, зрабіўшы праблему ў маім публічным форку btcd з падрабязнасцямі, паколькі паведамленне было агульнадаступным, я выдаліў яго, а потым звязаўся з ім па электроннай пошце
у нас быў гатовы патч для мінорнага выпуску (з некаторымі іншымі аптымізацыямі памяці), але, вядома, гэта апярэдзіла яго
— Olaoluwa Osuntokun (@roasbeef) Лістапада 1, 2022
Ён таксама адзначыў важную рэч: «Я не думаў, што хтосьці будзе працаваць з майнерамі, каб здабываць гэта». Для праходжання гэтай канкрэтнай памылкі патрабаваўся ўдзел майнера. У гэтай атацы магло быць больш, чым здаецца на першы погляд. Аднак да транзакцыі спаганялася камісія ў памеры больш за 700 долараў. Гэтай непамернай платы магло быць дастаткова, каб правесці незвычайную транзакцыю.
Ці нясе Blockstream адказнасць за атаку?
Тут усё становіцца складаней, таму што здаецца, што Бурака раней спансіраваў Blockstream для працы над ліквіднымі запаветамі на Bitmatrix. У серыі выдаленых на той час твітаў генеральны дырэктар Lightning Labs Элізабэт Старкс, здаецца, абвінавачвае Blockstream як мінімум у спонсарстве нападаў. На пытанне супрацоўніка Blockstream Старкс адказаў: «Ці гэта не праўда, што гэта спансіраваны распрацоўшчык?» і «Здаецца, вы прапусцілі выдалены твіт, у якім я канкрэтна згадаў, што было ясна, што гэтая атака не была часткай таго, што было спансавана».
Хіба гэта не праўда, што гэта спансіраваны распрацоўшчык? Я меў на ўвазе не тое, што *гэта* праца была прафінансавана, але, як вы напісалі, гэты чалавек «вызначана спансуецца blockstream». pic.twitter.com/s1SHZnnbo5
— Элізабэт Старк 🍠 (@starkness) Лістапада 1, 2022
Увядзіце заснавальніка Suredbits Крыс Сцюарт, які пайшоў яшчэ далей і прама папрасіў Адама Бэка пацвердзіць, «што Blockstream не спансіруе гэтыя атакі на LND у якасці рэкламнага інструмента для core lightning». Адам Бэк адмовіўся ад спонсарства і патлумачыў, што, на яго думку, меў на ўвазе Бурак. «З паведамлення op_return можна зрабіць выснову аб рызыках выкарыстання поўнага вузла, які не з'яўляецца біткойнам, для кансенсусу, а Core Lightning выкарыстоўвае біткойн. магчыма, Бурак гэта робіць, эмпірычным шляхам. Гэта вядомае абмежаванне бяспекі LANGSEC, пабітава сумяшчальнае практычна немагчыма».
Каб пакласці ўсё спаць, даследчык Blockstream Крысціян Дэкер пайшоў на запіс і напісаў у твітэры: «Гэта жудасна, каманда Core Lightning не патурае нападам любога характару. А называць канкурэнта - гэта вельмі дрэнны густ. Калі ласка, прытрымлівайцеся адказнага раскрыцця інфармацыі і пазбягайце такіх рэкламных трукаў, бо гэта не дапамагае, а выклікае шмат праблем!»
Рэкамендаваны вобраз Бетані Лэрд on Unsplash | Графікі TradingView
Крыніца: https://bitcoinist.com/huge-transaction-brought-down-lnd-blockstream/