In meno di un mese, la rete Lightning di Bitcoin ha subito ancora una volta un crash che ha portato i nodi che utilizzano il client LND (Lightning Network Daemon) a perdere la sincronizzazione, limitando l’apertura o la chiusura dei canali di pagamento. Nonostante il guasto, la rete ha continuato a instradare i pagamenti senza grossi intoppi.
Il 10 ottobre, come riportato da diversi siti di notizie, una transazione di circa 1.000 firme ha causato interruzioni della rete. Come correzione, nel codice è stato impostato un nuovo valore, in particolare nel maxWitnessItemPerInput (che raccoglie il numero massimo di firme), pari a 500.000.
Tuttavia, ore fa, un utente – deliberatamente e come test di resilienza – ha creato una transazione che fingeva di avere 500.001 “firme”, causando il blocco dei client LND.
Vale la pena notare che una transazione così grande è stata creata grazie a Taproot, uno degli aggiornamenti più recenti e importanti che Bitcoin ha ricevuto. In questa rete è possibile utilizzare un massimo di 1.000 firme per transazione. Tuttavia, con Taproot è possibile simulare transazioni con un numero maggiore di firme (in questo caso vuote), come si vede nei dettagli della transazione.
LND è il client di nodo più utilizzato nella rete Lightning. Anche i nodi con la capacità più elevata e con il maggior numero di pagamenti giornalieri funzionano con questo client. Quindi la falla era piuttosto significativa all’interno della rete.
L’attaccante propone una soluzione
L’utente che ha creato la transazione e che si è identificato con lo pseudonimo brqgoo su GitHub, suggerisce di modificare il valore maxWitnessItemPerInput a 4.000.000. Egli ritiene che ciò possa risolvere il problema.
In seguito al suggerimento, il team di sviluppo di LND ha rilasciato una nuova versione del client (v 0.15.4) che risolve il problema e raccomanda di aggiornare immediatamente tutti i nodi.
Lo sviluppatore Rene Pickhardt ha riferito che il team di sviluppo di LND era a conoscenza di questo vettore di attacco, dato che la prima grave interruzione si è verificata meno di un mese fa. Pickhardt ha spiegato che il team di sviluppo aveva già suggerito di cambiare il maxWitnessItemPerInput a 4.000.000, come poi suggerito da brqgoo.
Per il momento, mentre la rete è in fase di aggiornamento, i servizi di creazione e chiusura dei canali di pagamento sono stati sospesi su alcuni portafogli e piattaforme.
