Veel üks viga võttis lühidalt osa Lightning Network PlatoBlockchain andmeanalüüsist. Vertikaalne otsing. Ai.

Teine viga võttis korraks osa välguvõrgust maha

Ajatempel: 3. november 2022 kell 11:00

Allpool on otsene väljavõte filmist Marty's Bent Probleem nr 1278: "Tekkib veel üks LND/btcd viga." Liitu uudiskirjaga siin.

kaudu GitHub

For the second time in less than a month, btcd (an alternative implementation of Bitcoin) and, by extension, LND (one of the Lightning implementations) became incompatible with the rest of the Bitcoin network due to some meddling from a developer named Burak.

Oktoobril 9, Burak completed a 998-0f-999 tapscript multisig transaction that btcd recognized as invalid while Bitcoin Core and other implementations (correctly) recognized it as valid. Since LND’s implementation of the Lightning Network depends on btcd, it became incompatible with the rest of the Lightning Network, therefore disrupting all of their users’ ability to transact safely. Not ideal.

Kerige edasi eilsesse ja Burak oli taas tagasi, et häirida btcd ja LND ülaltoodud tehingutüübiga: P2TR (maksa-taproot) kulu, mis sisaldab N OP_SUCCESSx 500,001 998 tõukega, mis ületab btcd-sse kodeeritud limiidi. Kui 999/XNUMX tapscripti multisig-tehing tundus olevat aus viga, siis eilne tehing oli Buraki ilmselge ärakasutamine looduses.

Avatud lähtekoodiga hajutatud süsteemide olemus jätab mõned haavatavused avatuks, kuid kas vigu tuleks kasutada avalikult või avalikustada privaatselt?

Tõestus Burak teadis, et see murrab LND

Selle OP_SUCCESSx tehingu puhul tasub tähele panna, et tavaliselt ei kaasata seda plokki. Tundub aga, et Burak pistis kaevureid altkäemaksu, määrates sellele tehingule eriti kõrge tasu, millele F2Pool ei suutnud vastu panna.

This situation has surfaced a lot of debate over the last two days. Was Burak wrong to exploit this bug in the wild on mainnet? Should he have properly disclosed the vulnerability to btcd and LND in private, allowing them to patch the code before the bug was exploited in the wild? Should LND be dependent on btcd, which is an alternative implementation of Bitcoin that doesn’t get nearly as close to the amount of attention and review that Bitcoin Core receives?

Kindlasti ei ole teie onu Martyl kõigile neile küsimustele õigeid vastuseid, kuid teie, veidrikud, on oluline sellest asjast teadlik olla, nii et mõtlesin, et juhin neile teie tähelepanu.

See on avatud lähtekoodiga hajutatud süsteemide olemus. Seal võib peituda palju haavatavusi ja probleemide lahendamiseks pole selget viisi. Paljud pooldavad vastutustundlikku avalikustamist eraviisiliselt, samas kui teised pooldavad avalikult võistlevaid tegevusi, mis sunnivad probleemi esile tõstma. See on üks kompromisse, mille valite, kui otsustate valida vabaturu rahavõrgustiku.

Ajatempel:

Veel alates Bitcoin ajakiri