Un acteur malveillant perturbe le réseau Lightning avec une seule transaction

Un utilisateur de Twitter du nom de « Burak » (@brqgoo) a plongé une grande partie du réseau Lightning dans la tourmente mardi matin lorsqu'il aurait créé une transaction Bitcoin non standard qui empêchait les utilisateurs d'ouvrir de nouveaux canaux Lightning (connexions entre les nœuds Lightning).

Lightning est un réseau de couche 2 qui s'exécute sur la blockchain Bitcoin pour permettre des transactions moins chères et plus rapides. La transaction valide, mais non standard, de Burak a provoqué l'exécution par les nœuds Bitcoin d'une implémentation de Bitcoin appelée btcdpour rejeter les blocs entrants valides. Cela a provoqué un problème correspondant sur tous lesDémon réseau Lightning Nœuds (LND). Les nœuds LND s'appuient sur les informations des nœuds Bitcoin btcd, et le problème a entraîné le refus de toute nouvelle demande d'ouverture de canal par les nœuds LND.

Sur le même sujet : Kollider lève 2,4 millions de dollars pour créer des produits financiers « Lightning-Native »

Les manigances de Burak ont ​​perturbé une bonne partie des écosystèmes Bitcoin et Lightning. Néanmoins, on pourrait affirmer que la communauté anti-fragilitéétait pleinement exposé.CORE de base(CLN) nœuds qui s'appuient surBitcoin CORE, l'implémentation la plus populaire de Bitcoin, n'ont pas été affectées (bien que cela semble avoir été intentionnel). De plus, le bug exploité par Burak a été rapidement corrigé (grâce à Elle Mouton et Olivier Gugger).

« Compte tenu du contexte, il semble que Burak était parfaitement conscient des conséquences de la transaction. Je pense que chacun peut décider lui-même si cela doit être considéré comme malveillant ou non. »René Pickhardt, développeur et formateur Bitcoin et Lightning, a déclaré à CoinDesk. Pickhardt est co-auteur du populaire «Maîtriser la foudre" livre et a aidé à démystifier de nombreux aspects techniques de cette histoire.

Comment Bitcoin devrait-il gérer les bugs et les exploits ?

Les actions de Burak ont ​​non seulement suscité des échanges animés sur Twitter, mais ont également soulevé une question clé : comment la communauté Bitcoin devrait-elle gérer des exploits similaires à l'avenir ?

« En général, les développeurs promeuvent une culture bien connue de Déclaration de transparence responsable et d'éthique lorsqu'ils découvrent des bugs exploitables. Lightning Labs avait un plan raisonnable pour corriger ce problème en amont, mais Burak a peut-être estimé que la situation était plus urgente et a voulu les en empêcher. » Jean Carvalho Carvalho est le PDG de Synonym, une société de logiciels Bitcoin . Reza Bandegi, directeur Technologies de l'entreprise, a également contribué à clarifier les aspects techniques de ce rapport.

Sur le même sujet : Synonym, l'éditeur de logiciels Bitcoin , lance Bitkit, un portefeuille Bitcoin optimisé par le protocole Slashtags.

Ce que décrit Carvalho pourrait être encore plus encouragé par la mise en place de programmes de primes aux bugs robustes. « Il est toujours difficile de se préparer à un nouveau bug. Je suppose que davantage de programmes de révision et de primes aux bugs pour une Déclaration de transparence responsable pourraient aider. » Pickhardt a apporté son point de vue. « Cependant, si j'ai bien compris, Pieter Wuille pense que la correction des bugs peut parfois comporter un risque, car cela peut accroître la sensibilisation et attirer des acteurs malveillants potentiels pendant la phase de transition, lors de la mise à jour des nœuds. »

En effet, le développeur Bitcoin Pieter Wuille pense que le processus de correction des bugs et de gestion des exploits n'est pas toujours simple.

« Je T pense pas que ce soit si simple. On pourrait raisonnablement supposer que l'exploitation de ce problème nécessitait la coopération des mineurs (ou de ceux dont la Juridique de pool de mémoire/relais est non standard), ce qui compliquait la tâche. Et corriger ce problème sans éveiller les soupçons est difficile », a tweeté Wuille.

Wuille a raison. Des rumeurs circulaient selon lesquelles Burak aurait versé 700 $ à F2Pool, ONEun des plus grands pools de minage Bitcoin , pour que sa transaction non standard soit incluse dans ONEun de leurs blocs. Il aurait ensuite intégré un message étrange dans la transaction : « Vous exécuterez CLN et vous serez satisfait », une référence à CORE Lightning (CLN), qui, comme indiqué précédemment, est une alternative à LND, l'implémentation Lightning affectée par l'exploit.

« Je ne peux T parler au nom de Burak, mais il a fallu un effort et des dépenses particulières pour réaliser sa démonstration, donc je dois supposer qu'il savait exactement ce qu'il faisait et qu'il voulait au moins attirer l'attention sur lui-même, LND, et apparemment, CLN aussi, car il a laissé un message de soutien pour CLN dans la transaction instigatrice sur la chaîne », a expliqué Carvalho.

Christian Decker, chercheur chez Blockstream, une société d'infrastructure Bitcoin , et contributeur au projet CLN, a distancié son équipe de l'exploit et a dénoncé publiquement les actions de Burak.

CORRECTION (2 novembre 2022, 14h24 UTC) :Corrige l'explication dans le deuxième paragraphe, une citation dans le quatrième paragraphe et le nom de famille de John Carvalho.