Rejoignez-Nous sur

Une vulnérabilité révèle que le réseau Lightning n'a pas été supporté par Bitcoin

blockstream offices

News

Une vulnérabilité révèle que le réseau Lightning n'a pas été supporté par Bitcoin

Une grave vulnérabilité pour Lightning Network (LN) a été révélée avec Rusty Russell, un développeur de LN, décrivant le bogue critique comme: "Fondamentalement, vous pensez que je vous paye mais je ne le suis pas, alors vous envoyez joyeusement des fonds."

Cela a apparemment été corrigé, mais les nœuds LN ne vérifiaient pas si le canal était valide et ne vérifiaient même pas les signatures. Vous pouvez donc leur dire ce que vous voulez et ils vous feront confiance, ou plus techniquement:

«Un nœud Lightning qui accepte un canal doit vérifier que la sortie de la transaction de financement ouvre effectivement le canal proposé. Sinon, un attaquant peut prétendre ouvrir un canal mais ne pas payer à l'homologue ou ne pas payer le montant intégral.

Une fois que la transaction a atteint la profondeur minimale, elle peut dépenser des fonds depuis le canal. La victime ne remarquera que lorsqu'elle tentera de fermer le canal et qu'aucune de ses transactions d'engagement ou de fermeture mutuelle ne sera valide. ”

Russell dit que la spécification n'a pas spécifié la nécessité d'effectuer ces contrôles extrêmement basiques. Il dit: "Il n'était PAS nécessaire que le destinataire vérifie réellement que la transaction est celle promise par le bailleur de fonds: le montant et la clé de script proprement dite."

Il y a environ 7 millions de dollars de bitcoins dans le Lightning Network, avec un autre développeur LN déclarant plus tôt ce mois-ci: «Nous avons confirmé les cas d’exploitation de CVE dans la nature».

On ignore comment cette question extrêmement élémentaire a passé les chèques pendant près de deux ans, mais LN est plutôt petite, elle a à peine plus de fonds que le bitcoin symbolisé qui fonctionne sur Ethereum.

Pourtant, il y a trois équipes de mise en œuvre et plusieurs développeurs, mais personne ne s'est demandé pendant des années s'ils devaient vérifier si un canal est valide ou non.

Même Russell lui-même semble l'avoir rencontré de manière quelque peu accidentelle en testant «plusieurs nouvelles fonctionnalités proposées (qui) ajoutent de nouvelles complexités».

Cette caractéristique est probablement ce qu'ils appellent Hyperloop, qui en anglais est mieux appelé "gatekeepers".

Ceci est toujours en cours de développement, mais au lieu de simplement fermer un canal, vous l'envoyez à la porte de sortie, qui collecte ensuite tous les autres canaux qui veulent être fermés et les regroupe en une seule transaction.

Bitcoin a la capacité d'inclure dans ce qu'on appelle clairement une transaction, des centaines de transactions effectives d'une adresse à des centaines d'adresses différentes.

Une transaction groupée de ce type représente environ 20 octets, quel que soit le nombre de transactions réelles, alors que ce que l’on appelle communément une transaction simple de A à B représente environ 200 octets.

Donc, vous voudrez peut-être l'envoyer à la porte de sortie pour économiser des frais avec le portier, puis l'envoyer aux adresses réelles de la blockchain.

Cela peut également se faire via une porte d’entrée, où vous «envoyez» votre bitcoin au portier qui vous connecte ensuite au réseau Lightning et vous donne ainsi un canal et tout le reste.

Ils prétendent que tout cela n’est pas fondé sur la confiance, mais qu’ils n’ont pas résolu le problème de la double dépense, la confiance de LN est totale.

C’est parce que Lightning est son propre réseau, avec ses propres transactions qui ne sont pas organisées dans une blockchain avec une preuve de travail qui impose le consensus des noeuds en matière de validité et de double dépense.

Ce que nous avons sur LN à la place est la preuve qu'une adresse blockchain a x bitcoins. C'est maintenant. Comme le montre la vulnérabilité, LN n’en avait même pas. Ils prétendent maintenant que cela est réglé, mais il est un peu curieux de voir que cette capacité absolument fondamentale n’était pas là depuis deux ans.

Cela pose la question de savoir s’ils peuvent réellement prouver la validité de la demande ou de l’affirmation que l’adresse x a un montant x de fermé à clé Bitcoin.

Cela soulève cette question, car vous pouvez évidemment lire la blockchain et voir qu'elle est verrouillée, mais cela peut se compliquer avec un paramètre de réseau, en particulier avec les portiers.

Quoi qu'il en soit, en supposant que vous puissiez prouver cet aspect de manière incontestable dans un contexte réseau, vous donnez cette preuve au commerçant qui pense maintenant que vous l'avez payé.

Vous donnez maintenant cette même preuve à un autre marchand, et lui aussi pense que vous l'avez payé car il n'y a pas de consensus dans LN, les noeuds ne savent pas ce que font les autres noeuds, personne ne met une marque d'approbation sur une preuve de travail. fait dans une blockchain.

La façon dont ils gèrent cette double dépense est d’avoir une tour de guet qui applique une règle qui dit que si vous dépassez la même transaction, vous êtes puni par le marchand ayant le droit à tous vos bitcoins.

Nous n’avons pas cherché à savoir comment cette Watchtower fonctionnait pour voir s’ils pouvaient être dupés si on leur disait une chose et le commerçant une autre.

C’est peu probable, mais il n’ya pas de consensus ici. Sauf ce que dit la blockchain, tous les aspects du reste peuvent vraisemblablement être modifiés par un codeur qui modifie son propre noeud pour lui donner les règles qu'il souhaite.

À présent, le commerçant exécute son propre nœud avec les règles «officielles», mais un attaquant doit duper son nœud pour manipuler des données, au lieu de l’ensemble des 4,5 millions d’asics qui sécurisent actuellement les règles du réseau bitcoin.

C’est particulièrement important en ce qui concerne les tours de guet. Un seul d'entre eux doit faire preuve de malveillance pour semer le chaos, car ils peuvent appliquer toutes les règles qui leur plaisent une fois que cela laisse la blockchain, ce qui est conceptuellement appliqué lors de la toute première transaction sur le réseau Lightning.

La Watchtower n'a même pas à être malveillante. Certains corruption accidentelle de données et vous avez tout cela s'écrouler parce que la Watchtower / s devient systémique.

Une grande partie de cette ressource n'est pas exploitée à présent car personne n'utilise vraiment LN, mais si un échange important, par exemple, commençait à accepter des dépôts de bitcoins via LN, des personnes très intelligentes pourraient montrer à quel point tout cela est sécurisé.

D'où la raison pour laquelle LN a été davantage conceptualisé pour les micro-transactions, les petits paiements d'un satoshi ou autre avec peu d'incitation pour quiconque de se donner la peine de les voler.

Cependant, cela a maintenant été transformé en une sorte de remplacement proposé de la blockchain alors qu’aucun nouveau génie n’est sorti pour résoudre le problème de la double dépense sans une blockchain avec un mécanisme de résistance sybil.

Les «génies» ont plutôt constitué un réseau où rien n’a été vérifié pendant près de deux ans.

Droits d'auteur Trustnodes.com



Traduction de l’article de Trustnodes : Article Original

BlockBlog

Le Meilleur de l'Actualité Blockchain Francophone & Internationale | News, Guides, Avis & Tutoriels pour s'informer et démarrer facilement avec Bitcoin, les Crypto-Monnaies et le Blockchain. En Savoir Plus sur L'Équipe BlockBlog

Commenter cet Article

Commenter cet Article

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Plus dans News

Les Plus Populaires

Acheter des Bitcoin

Acheter des Alt-Coins

Sécuriser vos Cryptos

Vêtements et Produits Dérivés

Top