Un altro bug ha eliminato brevemente parte della rete Lightning

Quello che segue è un estratto diretto di Marty's Bent Problema n. 1278: "Emerge un altro bug LND/btcd." Iscriviti alla newsletter qui.

Per la seconda volta in meno di un mese, btcd (un'implementazione alternativa di Bitcoin) e, per estensione, LND (una delle implementazioni Lightning) sono diventati incompatibili con il resto della rete Bitcoin a causa di alcune ingerenze da parte di uno sviluppatore di nome Burak.

Ottobre 9, Burak ha completato una transazione multisig tapscript 998-0f-999 che btcd ha riconosciuto come non valida mentre Bitcoin Core e altre implementazioni (correttamente) l'hanno riconosciuta come valida. Poiché l'implementazione della rete Lightning da parte di LND dipende da btcd, è diventata incompatibile con il resto della rete Lightning, interrompendo quindi la capacità di tutti gli utenti di effettuare transazioni in sicurezza. Non è l'ideale.

Avanti veloce a ieri e Burak è tornato di nuovo per interrompere btcd e LND con il tipo di transazione che vedi sopra: una spesa P2TR (pay-to-taproot) contenente N OP_SUCCESSx con 500,001 push, che supera il limite codificato in btcd. Mentre la transazione multisig tapscript 998 su 999 sembrava essere un errore onesto, la transazione di ieri è stata un palese exploit di Burak.

Qualcosa da notare su questa transazione OP_SUCCESSx è che in genere non verrebbe inclusa in un blocco. Tuttavia, sembra che Burak abbia corrotto i minatori applicando una commissione particolarmente elevata a questa transazione a cui F2Pool non ha potuto resistere.

Questa situazione ha fatto emergere molti dibattiti negli ultimi due giorni. Burak ha sbagliato a sfruttare questo bug in modo selvaggio sulla mainnet? Avrebbe dovuto rivelare adeguatamente la vulnerabilità di btcd e LND in privato, consentendo loro di correggere il codice prima che il bug venisse sfruttato in pubblico? LND dovrebbe dipendere da btcd, che è un'implementazione alternativa di Bitcoin che non si avvicina così tanto alla quantità di attenzione e revisione che Bitcoin Core riceve?

Tuo zio Marty certamente non ha le risposte giuste a tutte queste domande, ma è importante che voi mostri siate consapevoli di queste cose, quindi ho pensato di portarle alla vostra attenzione.

Questa è la natura dei sistemi distribuiti open source. Potrebbero esserci molte vulnerabilità in agguato e non esiste un modo chiaro per gestire i problemi. Molti sosterranno la divulgazione responsabile in privato, mentre altri sosterranno azioni palesi di contraddittorio che forzano la questione. Questo è uno dei compromessi che scegli quando decidi di aderire a una rete monetaria di libero mercato.