Ein Twitter-Nutzer mit dem Namen „Burak“ (@brqgoo) hat am Dienstagmorgen einen großen Teil des Lightning-Netzwerks in Aufruhr versetzt, als er angeblich eine nicht standardmäßige Bitcoin-Transaktion erstellte, die Benutzer daran hinderte, neue Lightning-Kanäle (Verbindungen zwischen Lightning-Knoten) zu öffnen ).
Lightning ist ein Layer-2-Netzwerk, das billigere und schnellere Bitcoin-Transaktionen ermöglicht. Buraks gültige, aber nicht standardmäßige Transaktion führte dazu, dass Bitcoin-Knoten, auf denen eine Implementierung von Bitcoin namens btcd ausgeführt wurde, plötzlich aufhörten, neue Transaktionsblöcke zu erstellen. Dies verursachte einen entsprechenden Fehler auf allen Knoten des Lightning Network Daemon (LND). LND-Knoten verlassen sich auf Informationen von btcd-Bitcoin-Knoten, und der Fehler führte dazu, dass LND-Knoten alle neuen Kanalöffnungsanfragen ablehnten.
Konsenskonflikt verursacht durch max Witness Items Per Input #1906 @brqgoo Bitcoin hat eine Konsensregel, die die Anzahl der Stack-Items in einer Reihe auf 1000 begrenzt. Eine P2TR-Ausgabe, die OP_SUCCESSx enthält, geht dieser Regel jedoch unabhängig davon voraus. I made a P2TR spend containing an OP_SUCCESSx opcode with 500,001 empty pushes, which as a result, caused a consensus conflict between btcd and core: https://blockstream.info/tx/73be398c4bdc43709db7398106609eea2a7841aaf3a4fa2000dc18 Changinga2a7841aaf3a4fa2000dc18 Changinga solve20.000Pert from the parameter 4000 issue: https://github.com/btcsuite/btcd/blob/master/wire/msgtx.go#L103
Weiterlesen: Kollider sammelt 2,4 Millionen US-Dollar, um „Lightning-native“ Finanzprodukte zu entwickeln
Buraks Spielereien störten einen Großteil der Bitcoin- und Lightning-Ökosysteme. Trotzdem könnte man argumentieren, dass die Antifragilität der Gemeinschaft voll zur Geltung kam. Core Lightning (CLN)-Knoten, die auf Bitcoin Core, der beliebtesten Implementierung von Bitcoin, angewiesen sind, waren nicht betroffen (obwohl dies beabsichtigt zu sein scheint). Außerdem wurde der Fehler, den Burak ausgenutzt hat, schnell gepatcht (Dank an Elle Mouton und Oliver Gugger).
„Burak war sich der Folgen der Transaktion bewusst. Ich denke, jeder kann selbst entscheiden, ob das als bösartig angesehen werden soll oder nicht“, sagte Rene Pickhardt, Bitcoin- und Lightning-Entwickler und -Lehrer, gegenüber CoinDesk. Pickhardt war Co-Autor des beliebten Buches „Mastering Lightning“ und half dabei, viele technische Aspekte dieser Geschichte zu entmystifizieren.
Wie sollte Bitcoin mit Bugs und Exploits umgehen?
Buraks Vorgehen löste nicht nur einen regen Austausch auf Twitter aus, sondern warf auch eine zentrale Frage auf – wie soll die Bitcoin-Community in Zukunft mit ähnlichen Exploits umgehen?
„Im Allgemeinen fördern Entwickler eine bekannte Kultur der verantwortungsbewussten Offenlegung und Ethik, wenn sie ausnutzbare Fehler entdecken. Lightning Labs hatte einen vernünftigen Plan, um dieses Problem im Voraus zu beheben, aber vielleicht hielt Burak die Situation für dringender und wollte ein Feuer unter ihnen anzünden“, sagte John Cavarlho gegenüber CoinDesk. Cavarlho ist CEO der Bitcoin-Softwarefirma Synonym. Der CTO des Unternehmens, Reza Bandegi, half auch bei der Klärung der technischen Aspekte dieser Geschichte.
Weiterlesen: Bitcoin Software Company Synonym führt Plant ein, eine Bitcon-Geldbörse, die vom Slashtags-Protokoll unterstützt wird
Was Cavarlho beschreibt, könnte durch die Einrichtung robuster Bug-Bounty-Programme weiter gefördert werden. „Es ist immer schwierig, sich auf einen neuartigen Fehler vorzubereiten. Ich denke, mehr Überprüfungs- und Bug-Bounty-Programme für eine verantwortungsvolle Offenlegung könnten helfen.“ Pickhardt mischte sich ein. „Wie ich jedoch verstehe, ist Pieter Wuille der Ansicht, dass es manchmal ein Risiko geben kann, Fehler zu beheben, da dies das Bewusstsein schärfen und potenzielle böswillige Akteure in der Übergangsphase anziehen kann, während die Knoten aktualisiert werden.“
Tatsächlich ist der Bitcoin-Entwickler Pieter Wuille der Meinung, dass der Prozess der Behebung von Fehlern und der Verwaltung von Exploits nicht immer einfach ist.
„Ich glaube nicht, dass es unbedingt so einfach ist. Es wäre vernünftig anzunehmen, dass die Ausnutzung dieser Funktion die Zusammenarbeit von Bergleuten (oder zumindest solchen mit nicht standardmäßiger Mempool-/Relay-Richtlinie) erfordert, was es schwieriger macht, sie durchzuziehen. Und es ist schwierig, diese eine Zeile zu reparieren, ohne Verdacht zu erregen“, twitterte Wuille.
Wuille hat Recht. Es kursierten Gerüchte, dass Burak 700 US-Dollar an F2Pool, einen der größten Bitcoin-Mining-Pools, gezahlt habe, um seine nicht standardmäßige Transaktion in einen ihrer Blöcke aufzunehmen. Dann bettete er eine bizarre Nachricht in die Transaktion ein: „You’ll run CLN and you’ll be happy“, ein Verweis auf Core Lightning (CLN), das, wie oben besprochen, eine Alternative zu LND ist, der Lightning-Implementierung, von der es betroffen ist die Ausbeutung.
„Ich kann nicht für Burak sprechen, aber es hat einige besondere Anstrengungen und Kosten gekostet, seine Demonstration durchzuführen, also muss ich davon ausgehen, dass er genau wusste, was er tat, und dass er zumindest die Aufmerksamkeit auf sich, LND und anscheinend lenken wollte , CLN auch, weil er eine unterstützende Nachricht für CLN innerhalb der anstiftenden Transaktion in der Kette hinterlassen hat“, erklärte Cavarlho.
Christian Decker, ein Forscher des Bitcoin-Infrastrukturunternehmens Blockstream und Mitarbeiter des CLN-Projekts, distanzierte sein Team von dem Exploit und prangerte Buraks Handlungen öffentlich an.
