Setelah v0.15.3 baru-baru ini. pembaruan ke Lightning Network, kerentanan keamanan kritis ditemukan oleh peneliti keamanan siber independen yang berpotensi memungkinkan pelaku jahat menghentikan node lnd dari parsing transaksi.
Lightning Network Daemon (lnd) adalah implementasi penuh dari Lightning Network Node, bersama dengan layanan dan plug-in yang memungkinkannya terhubung ke jaringan Lightning lainnya, blockchain Layer-2 untuk Bitcoin yang memungkinkan kontrak pintar untuk dijalankan di jaringan BTC.
Pembaruan Dirilis Hanya Beberapa Jam Setelah Penemuan
Berkat kerja anggota komunitas Burak yang waspada dan pengembang responsif, hotfix v0.15.4-beta dirilis sekitar tiga jam setelah bug ditemukan.
Jika dibiarkan tanpa pengawasan, bug bisa saja terhenti transaksi terjadi jika node yang bertanggung jawab untuk menguraikannya telah diserang oleh aktor jahat.
“Ini adalah rilis hot fix darurat untuk memperbaiki bug yang dapat menyebabkan lnd node tidak dapat mengurai transaksi tertentu yang memiliki jumlah input saksi yang sangat besar.”
Pengembang yang menggunakan Lightning Network sekarang memiliki waktu dua minggu untuk menerapkan pembaruan. Setelah itu, timelock saluran yang saat ini ada akan kedaluwarsa dan membuat node rentan lagi.
Bug Kritis Kedua dalam Sebulan, Ditemukan oleh Burak
Bug terbaru, yang memengaruhi perpustakaan penguraian kawat btcd dari Lightning Network, ditemukan dan diumumkan oleh Burak di Twitter.
Terkadang untuk menemukan cahaya, kita harus menyentuh kegelapan terlebih dahulu.https://t.co/dhCwF0DxpE
— Burak (@brqgoo) November 1, 2022
Dalam transaksi blockchain yang digunakan untuk mendemonstrasikan bug, pengembang meninggalkan pesan yang menunjukkan akar penyebab masalah: “Anda akan menjalankan cln. Dan kamu akan bahagia.”
Pengembang juga bertanggung jawab untuk mengungkap bug serupa pada 9 Oktober. Dalam hal itu, Burak membuat transaksi multisig 998-dari-999 yang segera ditolak oleh node LND dan btcd. Hal ini mengakibatkan keseluruhan blok yang transaksinya tercatat ditolak, menyebabkan biaya transaksi yang sangat kecil hanya $5.16.
Meskipun bug ini mungkin telah membuat banyak orang di komunitas Bitcoin senang, bug ini secara teknis masih merupakan eksploitasi sistem dan segera ditambal setelahnya.
Kerentanan ini juga diduga telah dilaporkan oleh peretas topi putih Anthony Towns, yang meneruskan info tersebut ke pemimpin Lightning Network dev.
Untuk apa nilainya, saya juga memperhatikan bug ini dan mengungkapkannya kepada @ daging sapi panggang sekitar dua minggu lalu. Repo btcd tampaknya tidak memiliki kebijakan pelaporan untuk bug keamanan, jadi tidak yakin apakah ada orang lain yang bekerja di btcd mengetahuinya.
— Kota Anthony (@ajtowns) November 1, 2022
Terlepas dari resolusi cepat untuk dua bug ini, mereka menyebabkan panggilan untuk program hadiah bug untuk Lightning Network - karena ini dilaporkan karena tidak lebih dari itikad baik. Tanpa insentif bagi peretas etis untuk menemukan dan melaporkan bug serupa, tidak ada yang tahu siapa yang mungkin menemukan masalah di masa depan terlebih dahulu.
Binance Gratis $100 (Eksklusif): Gunakan link ini untuk mendaftar dan menerima $100 gratis dan 10% off biaya di Binance Futures bulan pertama (istilah).
Penawaran Khusus PrimeXBT: Gunakan link ini untuk mendaftar & memasukkan kode POTATO50 untuk menerima hingga $7,000 pada setoran Anda.
Sumber: https://cryptopotato.com/emergency-hotfix-deployed-to-prevent-disruption-to-the-lightning-network/