En anden fejl tog kort en del af Lightning-netværket

Nedenstående er et direkte uddrag af Marty's Bent Udgave #1278: "En anden LND/btcd-fejl dukker op." Tilmeld dig nyhedsbrevet her.

For the second time in less than a month, btcd (an alternative implementation of Bitcoin) and, by extension, LND (one of the Lightning implementations) became incompatible with the rest of the Bitcoin network due to some meddling from a developer named Burak.

Oktober 9, Burak completed a 998-0f-999 tapscript multisig transaction that btcd recognized as invalid while Bitcoin Core and other implementations (correctly) recognized it as valid. Since LND’s implementation of the Lightning Network depends on btcd, it became incompatible with the rest of the Lightning Network, therefore disrupting all of their users’ ability to transact safely. Not ideal.

Spol frem til i går, og Burak var tilbage igen for at forstyrre btcd og LND med den type transaktion, du ser ovenfor: et P2TR-udgifter (pay-to-tapoot) indeholdende N OP_SUCCESSx med 500,001 push, hvilket overskrider grænsen hårdkodet i btcd. Mens 998-af-999 tapscript multisig-transaktionen så ud til at være en ærlig fejltagelse, var gårsdagens transaktion en åbenlys udnyttelse i naturen af ​​Burak.

Noget at bemærke ved denne OP_SUCCESSx transaktion er, at den typisk ikke ville være inkluderet i en blok. Det ser dog ud til, at Burak bestikkede minearbejdere ved at knytte et særligt højt gebyr til denne transaktion, som F2Pool ikke kunne modstå.

This situation has surfaced a lot of debate over the last two days. Was Burak wrong to exploit this bug in the wild on mainnet? Should he have properly disclosed the vulnerability to btcd and LND in private, allowing them to patch the code before the bug was exploited in the wild? Should LND be dependent on btcd, which is an alternative implementation of Bitcoin that doesn’t get nearly as close to the amount of attention and review that Bitcoin Core receives?

Din onkel Marty har bestemt ikke de rigtige svar på alle disse spørgsmål, men det er vigtigt for jer freaks at være opmærksomme på det her, så jeg tænkte, at jeg ville gøre jer opmærksom på dem.

Dette er karakteren af ​​distribuerede open source-systemer. Der kan være mange sårbarheder, der lurer derude, og der er ingen klar måde at håndtere problemerne på. Mange vil gå ind for ansvarlige afsløringer privat, mens andre vil gå ind for åbenlyse modstridende handlinger, der tvinger problemet frem. Dette er en af ​​de afvejninger, du vælger, når du beslutter dig for at tilmelde dig et pengenetværk på et frit marked.