Vai LND ir salauzts? Vai arī smieklīgi lielais darījums, kas to atsinhronizēja, bija tiešs uzbrukums LND ieviešanai? Vai tas viss ietekmē lielāko zibens tīklu? Un kā ar bitcoin tīklu? Šis stāsts sākas ar visdažādākajiem jautājumiem un nevar apsolīt, ka uz tiem atbildēsim. Spēle notiek. Kaut kas notiek. Tomēr ir grūti noteikt, kas. Un šķiet, ka tiks atklāts vairāk, jo mums joprojām nav visu datu.
Izpētīsim, kas mums ir, un mēģināsim tikt pie lietas būtības. Un viss sākas ar līdzšinējā stāsta kopsavilkumu.
Kas ir ar LND un šiem milzīgajiem darījumiem?
9. oktobrī izstrādātājs, kas pazīstams kā Buraks paziņoja "Es tikko izdarīju 998 no 999 tapscript multisig, un tas maksāja tikai 4.90 USD kā transakcijas maksu." Šis ziņkārīgais darījums atsinhronizēja zibens tīklu, kas nokavēja viena bloka izveidi. Lightning Labs komanda, kas ir atbildīga par LND ieviešanu, dažu stundu laikā izlaida labojumu. Incidents skaidri parādīja, ka zibens tīkls joprojām tiek izstrādāts un tā ieviešana ir neaizsargāta pret uzbrukumiem.
Šodien atkal Buraks insults. "Dažreiz, lai atrastu gaismu, mums vispirms jāpieskaras tumsai." viņš tweeted pavadošie vēl viens milzīgs darījums. Šoreiz trieciens skāra tikai LND mezglus. Visi pārējie palika sinhroni, kamēr LND bija iestrēdzis. Kādu laiku tur LND mezgli varēja novirzīt maksājumus, bet nezināja par ķēdes stāvokli. Lightning Labs atzina kļūdu savos oficiālajos kanālos un sāka strādāt labojumfails, kas tika izlaists dažas stundas vēlāk.
Ar @zibens Laboratorijas komanda (h/t @guggero), mums plkst @GaloyMoney un mūsu CI cauruļvadi @BTCBeachWallet mezgli tiek atjaunināti ar kļūdas labojumu 31 blokā pēc 73be398c4bdc43709db7398106609eea2a7841aaf3a4fa2000dc18184faa2a7e trāpījuma.
Vai tas tagad var palikt rekords? pic.twitter.com/Utrabq86jF— openoms (@openoms) Novembris 1, 2022
Lai mums, pārējiem, izskaidrotu šīs sekas, lietišķās kriptogrāfijas konsultants Pīters Tods analizēja situācija. “Tā kā LN nav vienprātīga sistēma, dažādas ieviešanas ir laba lieta. Daļa tīkla šobrīd nedarbojas. Bet pārējiem palikt augšā nav nekāda kaitējuma. Tikmēr problēmas galvenais cēlonis ir kļūdains btcd kods, ”viņš rakstīja tviterī.
Pagaidām viss izklausās labi. Šķiet, ka darījuma nolūks izceļ ievainojamību, neradot ievērojamu kaitējumu. Lieta ir tāda, Buraks rakstīja: "jūs palaist cln. un tu būsi laimīgs” sadaļā OP_RETURN DATA. Un “cln” attiecas uz Core Lightning, LND galveno konkurenci. A Blockstream produkts.
BTC cenu diagramma 11 vietnē Bitstamp | Avots: BTC / USD par TradingView.com
Vai kāds ziņoja par LND kļūdu labu laiku pirms uzbrukuma?
Vēl viens pseidonīms izstrādātājs rakstīja Burakam, "Ētiskā lieta ir atklāt ievainojamību Lightning Labs komandai, nevis noņemt lielāko daļu tīkla mezglu." Pēc tam vēl viens izstrādātājs nosaukts Entonijs Taunss piegādāts nepieciešams sižeta pavērsiens: “Par ko tas ir vērts, es arī pamanīju šo kļūdu un apmēram pirms divām nedēļām atklāju to Olaoluwa Osuntokun. Šķiet, ka btcd repo nav ziņošanas politikas par drošības kļūdām, tāpēc nav skaidrs, vai kāds cits, kas strādā ar btcd, uzzināja par to.
"Sākotnējais ziņojums tika nosūtīts nepareizajā vietā, un tas tika nokavēts, es sekoju pēc nedēļas 19. datumā, un Olaoluva Osuntokuns atbildēja ar dažām domām par to, kāpēc tas jau nav uztverts un kā to izdarīt labāk," turpināja Tauns. Vēlāk Osuntokuns apstiprināja ziņojumu un atklāja: “Tā kā ziņa bija publiska, es to izdzēsu un pēc tam sazinājos ar viņu pa e-pastu. Mums bija gatavs ielāps nelielai versijai (ar dažām citām atmiņas optimizācijām), taču tas to kavēja.
Arī @ajtowns sazinājās ar mani, izveidojot problēmu manā publiskajā btcd fork ar informāciju, jo ziņa bija publiska, es to izdzēsu un pēc tam sazinājos ar viņu pa e-pastu
mums bija gatavs ielāps nelielai versijai (ar dažām citām atmiņas optimizācijām), taču tas to kavēja
— Olaoluwa Osuntokun (@roasbeef) Novembris 1, 2022
Viņš arī norādīja uz svarīgu lietu: "Es nebiju iedomājies, ka kāds strādās ar kalnračiem, lai to iegūtu." Lai tiktu cauri šai konkrētajai kļūdai, bija nepieciešama kalnraču dalība. Šim uzbrukumam varēja būt vairāk, nekā šķiet. Tomēr darījumam bija jāmaksā vairāk nekā 700 USD. Ar šo pārmērīgo maksu, iespējams, pietika, lai neparastais darījums tiktu izpildīts.
Vai Blockstream ir atbildīgs par uzbrukumu?
Šeit viss kļūst sarežģīts, jo šķiet, ka Buraku iepriekš sponsorēja Blockstream, lai strādātu pie Bitmatrix šķidrajiem līgumiem. Šķiet, ka pēc tam izdzēsto tvītu sērijā Lightning Labs izpilddirektore Elizabete Stārksa apsūdz Blockstream vismaz par uzbrukumu sponsorēšanu. Kad Blockstream darbinieks jautāja, Starks atbildēja: "Vai tā nav taisnība, ka tas ir sponsorēts izstrādātājs?" un "Šķiet, ka esat izlaidis dzēsto tvītu, kurā es īpaši minēju, ka bija skaidrs, ka šis uzbrukums nebija daļa no tā, kas tika sponsorēts."
Vai tā nav taisnība, ka tas ir sponsorēts izstrādātājs? Mans viedoklis nebija par to, ka *šis* darbs tika finansēts, bet, kā jūs rakstījāt, šo personu "noteikti sponsorē bloka plūsma". pic.twitter.com/s1SHZnnbo5
— Elizabete Stārka 🍠 (@starkness) Novembris 1, 2022
Ievadiet Suredbits dibinātāju Kriss Stjuarts, kurš to pacēla vēl tālāk un tieši lūdza Adam Back apstiprināt, "ka Blockstream nesponsorē šos uzbrukumus LND kā galveno zibens veicināšanas līdzekli." Ādams Beks noliedza jebkādu sponsorēšanu un paskaidroja, ko, viņaprāt, Buraks domāja. “No ziņojuma op_return var secināt, ka pastāv risks, ka vienprātības sasniegšanai tiek izmantots pilnais mezgls, kas nav Bitcoin kodols, un Core Lightning izmanto Bitcoin kodolu. varbūt Buraks to norāda empīriski. Tas ir zināms LANGSEC drošības ierobežojums, un gandrīz neiespējami to saderēt ar bitiem.
Lai visu noliktu gultā, Blockstream pētnieks Kristians Dekers devās uz ierakstu un tviterī ierakstīja: "Tas ir briesmīgi, Core Lightning komanda nepieļauj jebkāda veida uzbrukumus. Un konkurenta nosaukšana ir ļoti slikta gaume. Lūdzu, ievērojiet atbildīgu informāciju un izvairieties no šādiem reklāmas trikiem, jo tas nepalīdz un rada daudz problēmu!
Piedāvātais attēls ar Betānija Lērda on Unsplash | Diagrammas pēc TradingView
Avots: https://bitcoinist.com/huge-transaction-brought-down-lnd-blockstream/