Caída de Lightning Network por segunda vez

Caída de Lightning Network por segunda vez

Lightning Network

Segunda caída de Lightning Network en un mes. Kevin Loaec en Twitter explica de forma genial este episodio que traslado en este post.

Recientemente hubo un ataque en el cliente LND por una transacción al no poder analizar una transacción on-chain con 998 firmas.

Este fue un evento claramente buscado, con una transacción multifirma basada en SegWit y que la actualización Taproot utiliza. Con ella, el cliente LDN, de Lightning Labs, tuvo un problema de sincronización, ocasionando que muchos nodos de la red no fueran capaces de abrir nuevos canales.

¿Qué ha ocurrido hoy con Lightning Network?

Una transacción Taproot on-chain de Bitcoin con un mensaje OP_Return que deja en claro que la transacción se diseñó solo para romper LND, una de las implementaciones de Lightning Network.

Seguramente, esta persona sólo quería algunos puntos de Internet rompiendo cosas.

¿Por qué está mal?

Bueno, en seguridad hay una cosa llamada divulgación responsable. Es un «estándar» ético, donde después de encontrar una vulnerabilidad, la persona la informa al equipo de seguridad, los contactos se pueden encontrar en un archivo security.txt u otros medios. Se debe utilizar PGP.

Y luego esperas.

Entonces, el proceso difiere para la mayoría, el objetivo debe emitir un reconocimiento y compartir el cronograma para una corrección y divulgación:

  • Primero, publica una solución.
  • Luego, esta solución debe implementarse y difundirse (por lo general, «la mayoría» de los usuarios la usan).
  • Finalmente se hace la divulgación pública.

Algunas organizaciones son lentas y algunas son incluso abusivas en cuanto a cuándo el divulgador puede revelar sus hallazgos públicamente. Unos pocos meses está bien, años no, aunque depende del riesgo.

Si alguien con esta vulnerabilidad, alguien puede robar mucho dinero, arriesgar vidas, etc., está bien retrasar la divulgación.

Y esta es realmente la razón por la que algunas personas simplemente prefieren hackear servicios públicamente por puntos.

Ahora, la mayoría de las organizaciones ofrecerán una recompensa por la divulgación responsable para compensar/fomentar el buen comportamiento. Aun así, para la persona que encuentra el error, a veces es difícil.

Volviendo al ataque sobre LND de hoy: ¿qué es lo que ha pasado? 

Pues parece que Anthony Towns encontró la vulnerabilidad y la reveló responsablemente, hace 2 semanas.

¿Recibió un ACK? ¿Compartieron una línea de tiempo? La verdad es que aún no hay información.

¿Por qué no se arregló el código? Este es más difícil: al arreglarlo lo revelas.

Muy a menudo, las correcciones de seguridad están enterradas en grandes actualizaciones, o implementadas de una manera muy extraña para no revelar lo que realmente corrigen. De este modo, se corrige un error crítico manteniéndolo oculto hasta que la mayoría de las personas haya implementado la solución.

Quizás esto explique por qué el bug encontrado por Anthony aún no se haya solucionado, o quizás lo haya compartido. En este caso, no culpemos a Anthony. No es fácil mantener en secreto que puedes cargarte todos los nodos de LDN.

Por último, lo que sucede es que la organización suele divulgar la vulnerabilidad, le da crédito al que la he encontrado por su servicio y éste acaba por tener muchos puntos de Internet, mucho respeto de sus colegas y de la industria en general.

¿Crees que debemos felicitar a Anthony por esto?

 

Si quieres lecturas sobre este mundo de Bitcoin, no dudes en pasarte por la sección de recursos.

No dejes de tener tu Bitcoin bien guardado. Aquí te dejo algunas alternativas.

Ledger Nano X
BitBox02
D'CENT

El propietario de este portal, unbitcoiner.com, participa en el Programa de Afiliados de Amazon EU, e ingresa por compras adscritas. Todos los enlaces de compra incluidos en esta web, que utilizan el segmento /recursos/, tienen como destino el sitio web de Amazon.es. El logotipo y la marca de Amazon son propiedad de dicha empresa y de sus asociados. Las imágenes que ilustran parte de nuestros contenidos pertenecen a Amazon o a los fabricantes de los artículos.