Молния подвергается нападению ради ее же блага

«Да, мы создали структуру атак для сети Lightning».

Сообщение от «bitPico» на CoinDesk подтвердило то, что многие читали в популярная чат-группа, что псевдонимный пользователь заполнял узлы, на которых работало программное обеспечение, трафиком с помощью автоматизированного «инструментария атаки».

Примерно в то же время несколько разработчиков сообщили о сбоях в работе узлов Lightning, из-за чего им временно не удалось отправлять платежи с помощью Технологииразработан для более быстрых и дешевых транзакций Bitcoin .

Развитие событий происходит на фоне того, что все больше пользователей начинают использовать сеть Lightning для отправки реальных платежей (хотя и с некоторыми трудностями на этом пути), и всего через пару недель после того, как Lightning Labs, ONE из нескольких стартапов, создающих реализации Lightning с открытым исходным кодом, первым выпустил свой продукт на рынок. живая бета-версия.

Атаки были странным инцидентом, поскольку средства пользователей были в безопасности, и деньги T были украдены. Фактически, те, кто, включая bitPico, атакуют сеть, могут даже терять деньги.

ONE из первых, кто заметил атаки, был разработчик Bitrefill Джастин Камарена, который смог легко устранить уязвимость узла своей компании.

Но он был сбит с толку, почему кто-то будет атаковать другие узлы Lightning без соблазна денежной выгоды. Он задавался вопросом, почему они просто T сообщат о любых проблемах на GitHub, чтобы разработчики могли исправить любые найденные ошибки.

«[Это] была T настоящая атака с целью кражи средств, а скорее попытка сделать заявление, по моему Мнение», — сказал Камарена CoinDesk.

Поначалу у многих сложилось такое же впечатление, поскольку bitPico активно поддерживала спорную инициативу по масштабированию и продолжала отстаивать преимущества увеличения параметра размера блока,даже после того, какбольшинство участников сети отказались от этой идеи.

Однако, по данным bitPico, эти атаки — T просто политика; они направлены на безопасность:

«Как люди, инвестирующие в Bitcoin, мы хотим быть уверены, что решения второго уровня не будут подвержены [уязвимостям нулевого дня] с самого начала; единственный способ убедиться в этом — попробовать как можно больше атак».

Уязвимости нулевого дня — это дыры в безопасности, о которых разработчики проекта T знают. Обычно их используют хакеры в надежде украсть данные до того, как уязвимость будет исправлена.

Но атаки bitPico, которые начались около 10 дней назад, все направлены на стресс-тестирование программного обеспечения, прежде чем больше людей начнут его использовать. И план bitPico, кажется, работает — в какой-то степени.

По данным bitPico, было обнаружено 22 различных вектора атак, и псевдонимный пользователь планирует продолжать атаки еще пару недель.

Распространенная неприятность

Стоит отметить, что атаки типа «отказ в обслуживании» (DoS) широко распространены в Интернете.

Эти атаки просто затопляют сервер таким количеством трафика, что он падает под нагрузкой. И поскольку это обычная практика среди злоумышленников, веб-сайты, как правило, разрабатывают броню для защиты от них.

Действительно, атаки bitPico побуждают разработчиков Lightning поступать именно так, выдвигая различныевозможные исправленияИ многие разработчики полагают, что эти текущие атаки обеспечат успех Lightning Network.

Например, сторонник Bitcoin и автор Андреас Антонопулос беспечно назвал атаки«бесплатное тестирование», в то время как некоторые разработчики просто посмеялись над ними.

«Честно говоря, этого можно ожидать от любого сервиса, доступного через Интернет, и, на мой взгляд, [это] T считаться настоящей атакой», — сказал Пьер-Мари Падью, генеральный директор ACINQ, французского стартапа, стоящего за другим клиентом Lightning.

Разработчик Алекс Босворт начал использовать программное обеспечение брандмауэра, называемое iptables, чтобы не допустить нарушения законных транзакций этим трафиком.

Но атаки продолжаются, распространяясь такими пользователями, как bitPico, которые открывают крошечные платежные каналы, за открытие которых им приходится платить комиссию. (Это ONE из способов, с помощью которого злоумышленники, вероятно, теряют деньги, атакуя сеть с помощью DoS, хотя это стоит меньше цента.)

Проблема заключается в том, что клиент Lightning Labs, ONE, пока T позволяет узлам отключаться от этих спам-каналов, что замедляет их работу.

Босворт надеется, что в будущем реализация Lightning Labs позволит пользователям отключаться от подозрительных одноранговых узлов.

Тем не менее, эти атаки — это то, что Босворт и Камерена называют «раздражением». «Они потратили свой гонорар на создание этого канала. Это просто раздражает меня», — сказал Босворт.

Несчастные случаи, а не нападения

Все это говорит о том, что, хотя сеть Lightning Network впервые готова к реальным деньгам (что, несомненно, является большим шагом), все еще остается ряд более мелких проблем, которые необходимо решить, прежде чем она станет доступной для обычных, нетехнических пользователей.

Недавно это было полностью продемонстрировано в другом сценарии: то, что разработчики изначально приняли за атаку, оказалось простой ошибкой.

Чуть больше недели назад Босворт написал в Твиттере, что «злоумышленник» транслировал старое «состояние канала», которое могло позволить пользователю фактически украсть средства другого пользователя.

К этому,Босворт написал в Твиттере, «Молниеносные ДоСеры кажутся организованными и мотивированными».

Однако правила сети сработали так, как и было запрограммировано, и вместо этого пользователь был оштрафован на 25 долларов в Bitcoin .

«Справедливость восторжествовала», — Камаренатвитнул в то время, увидев сообщение, которое выдает программа, когда злоумышленник пытается украсть деньги, транслируя старую транзакцию.

«Именно так он и должен реагировать. Было довольно интересно увидеть, как это проявится на самом деле», — сказал Босворт CoinDesk.

Однако, хотя процесс отзыва работал, он также показал, что необходимы дополнительные доработки, поскольку изначально программное обеспечение T должно было позволять пользователю отправлять старые данные.

Как оказалось, трансляция старых данных быланесчастный случайсо стороны пользователя с поврежденной базой данных каналов, который восстановил старую резервную копию и закрыл свои каналы. Когда каналы были закрыты, старые состояния каналов были переданы, и узел, к которому он был подключен, обнаружил это и классифицировал это как мошенничество.

Тем не менее, разработчики Lightning рассматривают эти ошибки как полезный опыт, который в конечном итоге позволит создать более надежную сеть.

Как написал Босворт в Твиттере:

«У нас появилась хорошая возможность разработать надежные стратегии развертывания [одноранговых сетей]».

Сердце мишеньчерез Shutterstock