Un autre bogue a brièvement supprimé une partie du réseau Lightning

Le ci-dessous est un extrait direct de Marty's Bent Problème n° 1278 : « Un autre bogue LND/btcd apparaît. » Inscrivez-vous à la newsletter ici.

For the second time in less than a month, btcd (an alternative implementation of Bitcoin) and, by extension, LND (one of the Lightning implementations) became incompatible with the rest of the Bitcoin network due to some meddling from a developer named Burak.

Sur Octobre 9, Burak completed a 998-0f-999 tapscript multisig transaction that btcd recognized as invalid while Bitcoin Core and other implementations (correctly) recognized it as valid. Since LND’s implementation of the Lightning Network depends on btcd, it became incompatible with the rest of the Lightning Network, therefore disrupting all of their users’ ability to transact safely. Not ideal.

Avance rapide jusqu'à hier et Burak était de retour pour perturber btcd et LND avec le type de transaction que vous voyez ci-dessus : une dépense P2TR (pay-to-taproot) contenant N OP_SUCCESSx avec 500,001 998 pushs, ce qui dépasse la limite codée en dur dans btcd. Alors que la transaction multisig tapscript 999 sur XNUMX semblait être une erreur honnête, la transaction d'hier était un exploit manifeste dans la nature par Burak.

Quelque chose à noter à propos de cette transaction OP_SUCCESSx est qu'elle ne serait généralement pas incluse dans un bloc. Cependant, il semble que Burak ait soudoyé des mineurs en attachant une commission particulièrement élevée à cette transaction à laquelle F2Pool n'a pas pu résister.

This situation has surfaced a lot of debate over the last two days. Was Burak wrong to exploit this bug in the wild on mainnet? Should he have properly disclosed the vulnerability to btcd and LND in private, allowing them to patch the code before the bug was exploited in the wild? Should LND be dependent on btcd, which is an alternative implementation of Bitcoin that doesn’t get nearly as close to the amount of attention and review that Bitcoin Core receives?

Votre oncle Marty n'a certainement pas les bonnes réponses à toutes ces questions, mais il est important que vous, les monstres, soyez au courant de ces choses, alors j'ai pensé les porter à votre attention.

C'est la nature des systèmes distribués open source. Il pourrait y avoir beaucoup de vulnérabilités qui se cachent là-bas et il n'y a pas de moyen clair de gérer les problèmes. Beaucoup plaideront pour des divulgations responsables en privé tandis que d'autres plaideront pour des actions contradictoires manifestes qui forcent le problème. C'est l'un des compromis que vous choisissez lorsque vous décidez d'adhérer à un réseau monétaire de marché libre.