להלן קטע ישיר של Marty's Bent גיליון מס' 1278: "באג LND/btcd נוסף מופיע." הירשם לניוזלטר כאן.
באמצעות GitHub
בפעם השנייה בתוך פחות מחודש, btcd (יישום חלופי של ביטקוין) ובהרחבה, LND (אחד מיישומי Lightning) הפכו לבלתי תואמים לשאר רשת הביטקוין עקב התערבות כלשהי של מפתח בשם Burak.
על 9 אוקטובר, בורק השלים עסקת 998-0f-999 tapscript multisig ש-btcd זיהתה כלא חוקית בעוד Bitcoin Core ויישומים אחרים (נכון) זיהו אותה כתקינה. מכיוון שהטמעת Lightning Network של LND תלויה ב-btcd, היא הפכה לבלתי תואמת לשאר רשת Lightning, ולכן שיבשה את כל יכולת המשתמשים שלהם לבצע עסקאות בבטחה. לא אידיאלי.
הרץ קדימה לאתמול ובוראק חזר שוב כדי לשבש את btcd ו-LND עם סוג העסקה שאתה רואה למעלה: הוצאה P2TR (תשלום ל-taroot) המכילה N OP_SUCCESSx עם 500,001 דחיפות, החורגת מהמגבלה המקודדת ב-btcd. בעוד שעסקת multisig של 998 מתוך 999 נראתה כטעות כנה, העסקה אתמול הייתה ניצול גלוי בטבע של בורק.
ההוכחה שבורק ידע שזה ישבור את LND
משהו שחשוב לציין לגבי העסקה הזו של OP_SUCCESSx הוא שבדרך כלל היא לא תיכלל בבלוק. עם זאת, נראה שבוראק שיחד כורים בכך שהצמיד לעסקה זו עמלה גבוהה במיוחד ש-F2Pool לא יכלה לעמוד בפניה.
המצב הזה עורר ויכוחים רבים ביומיים האחרונים. האם בורק טעה כשניצל את הבאג הזה בטבע ב-mainnet? האם היה עליו לחשוף כראוי את הפגיעות ל-btcd ול-LND באופן פרטי, ולאפשר להם לתקן את הקוד לפני שהבאג נוצל בטבע? האם LND צריך להיות תלוי ב-btcd, שהוא יישום חלופי של ביטקוין שלא מתקרב כמעט לכמות תשומת הלב והביקורת שמקבל ביטקוין קור?
לדוד שלך מרטי בהחלט אין את התשובות הנכונות לכל השאלות האלה, אבל חשוב לכם, הפריקים להיות מודעים לדברים האלה, אז חשבתי להפנות אותם לתשומת לבכם.
זהו האופי של מערכות מבוזרות בקוד פתוח. יכולות להיות הרבה פגיעויות שאורבות שם ואין דרך ברורה לטפל בבעיות. רבים יתמכו בחשיפה אחראית בפרטיות בעוד שאחרים יתמכו בפעולות יריבות גלויות המאלצות את הנושא. זו אחת הפתרונות שאתה בוחר כשאתה מחליט להצטרף לרשת מוניטרית בשוק חופשי.
