Bitcoin Lightning Network’te Antoine Riard tarafından bir güvenlik açığı tespit edildi.

Bitcoin lightning network üzerinde “Değiştirme döngüsü saldırıları” olarak bilinen kusur teorik olarak Hash Time Kilitli Sözleşmeler (HTLC) adı verilen önemli bir bileşeni etkileyerek fon güvenliği için risk oluşturuyor.
Geçtiğimiz 10 ay boyunca bu güvenlik açığıyla ilişkilendirilen doğrulanmış gerçek dünya saldırıları olmadı.

“Yedek bisiklet saldırıları” olarak adlandırılan güvenlik açığı, Lightning Network üzerinden akan fonların güvenliğini potansiyel olarak tehlikeye atabilir.

Teorik olarak, gelişmiş saldırganların “işlem aktarımı engelleme saldırısı” gerçekleştirmesine ve Karma Zaman Kilitli Sözleşmeler (HTLC) olarak bilinen önemli bir Lightning Network bileşenini hedeflemesine olanak tanıyabilir. Böyle bir saldırının amacı, işlemlerin normal akışını bozarak gecikmelere neden olmak veya işlemlerin beklendiği gibi işlenmesini engellemek olacaktır. Bu, ağın kanallarında potansiyel fon kaybı riskine yol açabilir.

Her ne kadar endişe verici olsa da, kusur henüz gerçek dünyada doğrulanmış herhangi bir saldırıya yol açmadı. Riard, gözlem verilerine dayanarak son 10 ayda bu tür faaliyetlere dair bir kanıtın bulunmadığını belirtti. Raporda, “Son ~10 aydan bu yana vahşi doğada ne yedek bisiklet saldırıları gözlemlendi ne de rapor edildi ya da Bitcoin ana ağında gerçek dünya koşullarında denenmedi” vurgusu yapıldı.

Ayrıca güvenlik açığının Lightning geliştiricilerine bildirildiğini ve Eclair, LND ve C-Lightning gibi büyük Bitcoin Lightning Network uygulamalarına yamalar dağıtılarak hafifletme adımlarının atıldığını da açıkladı. Ancak bu hafifletme önlemlerinin saldırının daha gelişmiş biçimlerine karşı etkinliği konusundaki çekincelerini dile getirdi.

Bu güvenlik açığının etkileri Lightning Network’ün ötesine uzanabilir. Riard’ın raporu, kusurun coinjoins, eşler arası takas ve toplu ödemeler gibi bir dizi diğer Bitcoin protokolünü ve uygulamasını etkileyebileceğini öne sürdü.

Güvenlik açığını ilk ortaya çıkaran geliştirici Riard, eş zamanlı olarak Lightning üzerinde çalışmayı durdurduğunu belirten bir not yayınladı.

Riard, “Şu andan itibaren geçerli olmak üzere, güvenlik sorunlarının protokol düzeyinde ele alınmasının koordine edilmesi de dahil olmak üzere, Lightning Network ve uygulamalarının geliştirilmesine katılımımı durduruyorum” diye yazdı.