Опасения по поводу безопасности останавливают работу разработчиков над сетью Lightning Network биткоина, раскрывая основные уязвимости
Антуан Риар, ключевая фигура в экосистемах биткоина и Lightning Network, раскрыл ряд уязвимостей, затрагивающих мемпул биткоина. Уязвимости, получившие названия CVE-2023-40231, CVE-2023-40232, CVE-2023-40233 и CVE-2023-40234, связаны с «циклическими атаками замещения», которые, по словам Риарда, могут поставить Lightning Network в «очень опасное положение».
Риард поделился этой информацией в списке рассылки разработчиков биткоина, где указал, что эти недостатки могут быть устранены только с помощью фундаментальных изменений в базовом слое биткоина. Решения могут включать в себя добавление истории всех транзакций, требующей большого объема памяти, или даже проведение некоторой модернизации консенсуса. Риард подчеркнул, что хотя существуют средства защиты от более простых атак, их недостаточно для борьбы с более продвинутыми противниками.
Усугубляя проблему, Риард объявил о том, что он прекращает свое участие в разработке сети Lightning Network. Ранее он координировал вопросы безопасности на уровне протоколов и сообщил о своем решении старшим разработчикам Lightning. Этот шаг последовал за процессом ответственного раскрытия информации, обычно используемым в отношении аппаратных проблем, влияющих на операционные системы, и был адаптирован для экосистемы биткоина.
Уязвимости ставят перед сообществом биткоина непростые дилеммы. С одной стороны, для внесения существенных изменений потребуется согласие всего сообщества, поскольку это может изменить требования к вычислительной мощности узлов или всю архитектуру безопасности децентрализованной экосистемы биткоина. С другой стороны, объяснение необходимости таких изменений потребовало бы раскрытия практических и критических атак на публичную экосистему биткоина стоимостью около 5 355 BTC.
В заключение своего сообщения Риард заявил, что будет хранить молчание по этим вопросам до 30 октября. После этого он планирует сосредоточиться на разработке ядра биткоина. Эти разоблачения свидетельствуют о рисках и проблемах, связанных с развитием децентрализованных протоколов, и подчеркивают важность их правильной реализации с первого раза, так как, по словам Риарда, «второго шанса исправить их в процессе работы практически нет».