Antoine Riard, ricercatore di sicurezza e sviluppatore, si è dimesso dal team di sviluppo della Lightning Network, citando problemi di sicurezza e sfide fondamentali per l'ecosistema Bitcoin.
Secondo un thread sulla mailing list pubblica della Linux Foundation, Riard ritiene che la community di Bitcoin si trovi di fronte a un "difficile dilemma", poiché una nuova classe di attacchi "replacement cycling" mette Lightning in una "posizione pericolosa".
Come funziona un attacco di replacement cycling Lightning?
Nelle mailing list si discute molto di questa vulnerabilità appena scoperta, ma il meccanismo effettivo è un po' difficile da seguire.
Ecco quindi un primo passo illustrato...
1/n pic.twitter.com/mvvS8bEc5f
— mononaut (@mononautical) October 21, 2023
How does a lightning replacement cycling attack work?
— mononaut (@mononautical) October 21, 2023
There's a lot of discussion about this newly discovered vulnerability on the mailing lists, but the actual mechanism is a bit hard to follow.
So here's an illustrated primer...
1/n pic.twitter.com/mvvS8bEc5f
La Lightning Network è la soluzione layer-2 costruita sulla blockchain di Bitcoin. È stata progettata per migliorare la scalabilità e l'efficienza delle transazioni Bitcoin (BTC) consentendo transazioni peer-to-peer off-chain.
Attraverso la Lightning Network, gli utenti possono aprire canali di pagamento, condurre transazioni multiple off-chain e registrare il risultato finale sulla blockchain Bitcoin.
L'attacco di replacement cycling prende di mira questi canali di pagamento. Si tratta di un nuovo tipo di attacco che consente all'aggressore di sottrarre fondi a un partecipante al canale sfruttando le incongruenze tra le mempool individuali. Secondo Riard:
"Penso che questa nuova classe di attacchi "replacement cycling" metta Lightning in una posizione molto pericolosa, e che il problema possa essere risolto solo a livello di base, ad esempio aggiungendo una cronologia ad alta intensità di memoria di tutte le transazioni viste o qualche aggiornamento del consenso. Le mitigazioni implementate valgono qualcosa di fronte ad attacchi semplici, ma non credo che riescano a fermare gli hacker avanzati, come affermato nella prima mail di divulgazione completa".
Inoltre, Riard ha sottolineato che per affrontare il nuovo tipo di attacco potrebbe essere necessario modificare la rete Bitcoin sottostante:
"Questi tipi di cambiamenti sono quelli che richiedono la massima trasparenza e il coinvolgimento dell'intera comunità, poiché stiamo modificando i requisiti di elaborazione dei full-nodes o l'architettura di sicurezza dell'ecosistema decentralizzato di bitcoin nella sua interezza".
Gli sviluppatori della Lightning sono alle prese con alcune sfide, tra cui le critiche sulla complessità della rete e le richieste relative all'esperienza utente. Dalla sua nascita nel 2018, la rete layer-2 ha guadagnato popolarità, con un total value locked che ha raggiunto i 159,5 milioni di dollari al momento in cui scriviamo, secondo i dati di DefiLlama. Tuttavia, questa cifra è ancora molto modesta se confrontata con i 587 miliardi di dollari della capitalizzazione di mercato del Bitcoin.
Per ora Riard intende concentrarsi sullo sviluppo di Bitcoin core, ma ha messo in guardia sulle prossime sfide che attendono il principale ecosistema cripto:
"D'altra parte, per spiegare pienamente perché tali modifiche sarebbero giustificate per il bene della Lightning e per progettarle bene, potremmo aver bisogno di esporre in modo completo gli attacchi pratici e critici a un ecosistema pubblico di ~5 355 BTC. Un dilemma difficile. Potrebbe esserci una lezione in termini di implementazione del protocollo bitcoin [...]".