Bár megtehette volna, nem lopott egy bitcoint sem a Lightning hálózatról
Az igazi fehérsapkás hekker, aki bár megtehette volna, nem lopott egy bitcoint sem a Lightning hálózatról.
A Lightning hálózat valódi áttörést hozott a bitcoin világába, a hálózat felhasználói bázisa napról-napra nő és egyre több szolgáltató használja a bitcoin utalások gyors és olcsó alternatíváját. Egy lelkes fehérsapkás hekker most arra világított rá, hogy vannak még hiányosságok a kódban, amit minél gyorsabban orvosolni kellene.
Reckless_Satoshi felhasználó a Redditen osztotta meg, hogyan sikerült pár satoshira szert tennie több nagy szolgáltató, köztük a Bitfinex, OKex, Muun, WalletOfSatoshi, LNMarkets és a Southxchange kihasználása révén. Eredményeit tanulságképpen tette közzé, nem azért, hogy bemutassa, mennyit lopott a váltóktól.
Egyszerű támadás – de támadás-e ez egyáltalán?
A “támadás” során a “hekker” mindössze annyit csinált, hogy pénzt utalt a váltóra majd kiutalta azt. Elsőre nem igazán hangzik igazi hekker támadásnak, ugye? Hiszen a váltón a saját pénzünket használjuk ígyis-úgyis. Nos a trükk ott rejlik, hogy az utalás validálásához egy saját node-ot (csomópontot) iktatott közbe Reckless_Satoshi. Ez a csomópont díjat szed a tranzakció validálásáért és az elmélet szerint ez a díj magasabb, mint a kiutalás és a beutalás díja a váltóra.
A kérdés már csak az, hogyan lehet a saját csomópontunkat használni közvetítőként? Mindig az a node választja ki az utat, amelyik küldi a tranzakciót és nem valószínű, hogy egy drága utat fog ezért választani. Reckless_Satoshi erre azt a megoldást találta, hogy csak egyetlen csatornát nyit meg a csomóponton a váltó felé, így ha ezen keresztül megy át a tranzakció, akkor az mindenképpen az övé lesz. A pontos megvalósítási lépéseket a GitHubra is feltették.
Több váltón is tesztelte az elméletét
Több váltón is tesztelte a módszerét.
A Bifinexen 100 satoshi a kiutalás díja, azonban sikerült olyan tranzakciót is véghez vinnie, amivel 1000 satoshi díjat szedett be közvetítőként, amivel nettó 900 satoshi profitot ért el.
De például az OKEx olyan drágán méri a kiutalás díját, hogy ott nem tudott profitot generálni egyetlen tranzakcióval sem.
A Southxchange váltón egészen elképesztő, 5000%-os díjat sikerült beszednie egy kiutaláson. Azonban a váltón ezután korlátozták, hogy egy felhasználó maximum 1 kiutalást indíthat 10 perc alatt.
A tanulság
Bár az LN tranzakciós díjak elhanyagolhatóak, de nem teljesen nullák. Míg a Lightning Network szinte ingyenes tranzakciókat és rendkívül gyors átutalásokat is lehetővé tesz: az elhanyagolható összegek nagyon gyorsan nagy összegekké tudnak felhalmozódni. Ha olyan szolgáltatást épít valaki, ahol a kifizetések nincsenek korlátozva, és a díjat nem hárítják a felhasználóra, akkor idővel problémákba ütközhetnek.
Reckless_Satoshi külön kiemelte, hogy nem törte fel a hálózatot és nem az volt a célja, hogy bizonytalanságot és félelmet keltsen a Lightning hálózat irányába, a váltókat a talált hiányosságról értesítette is. Sokkal inkább az volt a célja, hogy fejlesszék a rendszert, hogy még inkább jól működhessen a jövőben.
A Redditen éppen most keresnek a hibának nevet. Az eddigi javaslatok között szerepel a Hungry Hippo (a játék után szabadon) és a Less In More Out (keveset be, többet ki) is.
Forrás: Reddit
