La foudre est attaquée pour son propre bien

« Oui, nous avons créé un cadre d’attaque pour le réseau Lightning. »

Le message de « bitPico » à CoinDesk a confirmé ce que beaucoup avaient lu dans un groupe de discussion populaire, que l'utilisateur pseudonyme inondait les nœuds exécutant le logiciel avec du trafic à l'aide d'une « boîte à outils d'attaque » automatisée.

À peu près au même moment, une poignée de développeurs ont signalé des pannes de nœuds Lightning, les empêchant temporairement d'envoyer des paiements en utilisantla Technologiesconçu pour des transactions Bitcoin plus rapides et moins chères.

Ce développement intervient alors que de plus en plus d'utilisateurs ont commencé à utiliser le réseau Lightning pour envoyer de vrais paiements - bien qu'avec quelques difficultés en cours de route - et seulement quelques semaines après que Lightning Labs, ONEune des nombreuses startups créant des implémentations Lightning open source, a été la première à lancer son produit dans bêta en direct.

Ces attaques étaient un incident étrange, car les fonds des utilisateurs étaient en sécurité et aucun argent T volé. En fait, ceux qui attaquent le réseau, y compris bitPico, pourraient même perdre de l'argent.

Justin Camarena, ONEun des premiers à avoir remarqué les attaques, a pu réparer le nœud de son entreprise – et facilement.

Mais il ne comprenait pas pourquoi quelqu'un s'en prendrait à d'autres nœuds Lightning sans l'appât du gain. Il se demandait pourquoi ils ne signalaient T simplement les problèmes sur GitHub, afin que les développeurs puissent corriger les bugs détectés.

« Ce n'était T vraiment une attaque pour voler des fonds, mais pour faire une déclaration à mon Analyses», a déclaré Camarena à CoinDesk.

Au début, beaucoup avaient la même impression, puisque bitPico avait été un fervent partisan d'une initiative de mise à l'échelle controversée et avait continué à vanter les avantages de l'augmentation du paramètre de taille de bloc.même aprèsla plupart des participants au réseau ont abandonné l’effort.

Mais, selon bitPico, les attaques ne sont T seulement politiques ; elles concernent également la sécurité :

« En tant que personnes ayant investi dans le Bitcoin, nous voulons nous assurer que les solutions de couche deux ne soient pas [zero-day] dès le départ ; essayer autant d'attaques que possible est le seul moyen d'en être sûr. »

Les vulnérabilités zero-day sont des failles de sécurité T des développeurs d'un projet. Elles sont généralement exploitées par des pirates informatiques dans l'espoir de voler des données avant que la vulnérabilité ne soit corrigée.

Mais les attaques de bitPico, qui ont débuté il y a une dizaine de jours, visent à tester le logiciel avant qu'il ne soit utilisé par un plus grand nombre. Et le plan de bitPico semble fonctionner, dans une certaine mesure.

Selon bitPico, 22 vecteurs d'attaque différents ont été découverts et l'utilisateur pseudonyme prévoit de poursuivre les attaques pendant encore quelques semaines.

Une nuisance courante

Il convient de souligner que les attaques par déni de service (DoS) sont courantes sur Internet.

Ces attaques submergent un serveur sous un tel volume de trafic qu'il plante sous la charge. Et comme ces pratiques sont courantes chez les attaquants, les sites web développent généralement un blindage pour s'en protéger.

En effet, les attaques de bitPico incitent les développeurs de Lightning à faire exactement cela, en proposant diversescorrectifs possibles. Et de nombreux développeurs pensent que ces attaques actuelles permettront au réseau Lightning de réussir.

Par exemple, Andreas Antonopoulos, défenseur du Bitcoin et auteur, déclare avec désinvolture : appelé les attaques« tests gratuits », tandis que certains développeurs s'en sont moqués.

« Franchement, c'est à prévoir pour tout service exposé à Internet et [cela] ne constitue T à mon avis une véritable attaque », a déclaré Pierre-Marie Padiou, PDG d'ACINQ, une startup française à l'origine d'un autre client Lightning.

Le développeur Alex Bosworth a commencé à utiliser un logiciel de pare-feu, appelé iptables, pour empêcher ce trafic de perturber les transactions légitimes.

Mais les attaques se poursuivent, propagées par des utilisateurs comme bitPico qui ouvrent de minuscules canaux de paiement, moyennant des frais. (C'est probablement ONEune des façons dont les attaquants perdent de l'argent en utilisant le DoS sur le réseau, même si cela coûte moins d'un centime.)

Il s'agit d'un problème dans la mesure où le client Lightning Labs, par ONE, ne permet T encore aux nœuds de se déconnecter de ces canaux de spam, ce qui les ralentit.

À l’avenir, Bosworth espère que l’implémentation de Lightning Labs permettra aux utilisateurs de se déconnecter de leurs pairs suspects.

Pourtant, ces attaques ne sont que ce que Bosworth et Camerena appellent une « agacement ». « Ils ont gaspillé leurs honoraires pour créer cette chaîne. Ça m'agace », a déclaré Bosworth.

Des accidents, pas des attaques

Tout cela montre que même si le réseau Lightning est prêt pour la première fois à recevoir de l'argent réel - un grand pas, c'est sûr - il reste encore un certain nombre de petits problèmes qui doivent être résolus avant qu'il ne soit prêt pour les utilisateurs quotidiens non techniques.

Ce phénomène s’est récemment manifesté dans un autre scénario : ce que les développeurs pensaient initialement être une attaque s’est avéré être une simple erreur.

Il y a un peu plus d'une semaine, Bosworth a tweeté qu'un « attaquant » avait diffusé un ancien « état de chaîne », qui aurait pu permettre à l'utilisateur de voler efficacement les fonds d'un autre utilisateur.

Vers cela,Bosworth a tweeté« Les Lightning DoSers semblent organisés et motivés. »

Mais les règles du réseau ont fonctionné comme prévu, pénalisant l'utilisateur de 25 $ en Bitcoin .

« Justice a été rendue », a déclaré Camarenatweeté à l'époque, après avoir vu le message que le programme crache lorsqu'un mauvais acteur tente de voler de l'argent en diffusant une ancienne transaction.

« C'est exactement comme cela qu'il devrait réagir. C'était vraiment intéressant de voir comment cela se déroule réellement », a déclaré Bosworth à CoinDesk.

Cependant, même si le processus de révocation a fonctionné, il a également montré qu'il restait encore des ajustements à apporter, car le logiciel n'aurait T dû permettre à l'utilisateur d'envoyer d'anciennes données en premier lieu.

Il s’est avéré que la diffusion des anciennes données étaitun accidentUn utilisateur dont la base de données de canaux était corrompue a restauré une ancienne sauvegarde et fermé ses canaux. À la fermeture des canaux, les anciens états ont été diffusés et le nœud auquel il était connecté l'a détecté et classé comme frauduleux.

Néanmoins, les développeurs de Lightning considèrent ces erreurs comme de bonnes expériences d’apprentissage qui aboutiront finalement à un réseau plus résistant.

Comme l'a tweeté Bosworth :

« Nous avons une bonne opportunité de développer des stratégies de déploiement robustes [peer-to-peer]. »

Cible cardiaquevia Shutterstock