„Da, am creat un cadru de atac pentru rețeaua Lightning.”

Într-un mesaj trimis către cei de la CoinDesk, bitPico a confirmat discuțiile de pe canalele de socializare, cum că utilizatorul pseudonim inundă nodurile care rulează softwareul Lightning cu trafic, folosind un kit de atac automatizat.

Cam în aceeași perioadă, o mână de dezvoltatori au raportat că nodurile Lightning se prăbușesc, ceea ce îi oprește temporar pe cei care folosesc rețeaua Lightning să trimită tranzacții.

Tot mai mulți utilizatori folosesc rețeaua Lightning ca să trimită plăți reale – deși au ceva obstacole în drum. Știrea vine la doar două săptămâni după ce Lightning Labs, unul dintre startupurile care lucrează la implementare, a lansat produsul în varianta beta live.

Atacurile au fost un incident ciudat. Fondurile utilizatorilor au fost în siguranță și nu s-au furat bani.  De fapt cei care dau atacul, inclusiv bitPico, s-ar putea chiar să piardă bani.

Printre primii care au observat atacul este Justin Camarena de la Bitrefill, care a reușit să repare foarte simplu nodul companiei.

A fost însă derutat. De ce ar vrea cineva să atace noduri Lightning fără să aibă nici un ban de câștigat? S-a întrebat de ce nu au raportat problema la GitHub, ca dezvoltatorii să poată să repare orice bug descoperit.

„Nu a fost de fapt un atac motivat de bani, ci unul care voia, după părerea mea, să spună ceva”, a spus Camarena.

La început, mulți au avut aceeași impresie, pentru că bitPico a fost un susținător al altei inițiative controversate de scalabilitate. El a continuat să vorbească despre avantajele creșterii dimensiunii blocului, chiar și după ce mulți participanți la rețea au renunțat la idee.

După spusele lui bitPico, atacurile nu țin de politică, ci de siguranță:

„Ca oameni care investesc în bitcoin, vrem să ne asigurăm că soluțiile de pe stratul doi nu reușesc să iasă pe ușă în zero-day. Singura metodă să fii sigur este să dai cât mai multe atacuri se poate.”

Vulnerabilitățile numite „zero-day” sunt probleme de securitate pe care dezvoltatorii unui proiect nu le știu. De obicei, sunt exploatate de hackeri în speranța că vor fura date până când vulnerabilitatea este rezolvată.

Atacurile lui bitPico, începute acum zece zile, țin de testarea sub condiții de stres ale programului înainte ca mai mulți oameni să înceapă să îl folosească. Planul lui bitPico pare să funcționeze în oarecare măsură.

După spusele lui bitPico, 22 de vectori de atac diferiți au fost găsiți, iar utilizatorul pseudoanonim plănuiește să mai continue cu atacul încă vreo două săptămâni.

Un stres în plus pentru toată lumea

Trebuie să spunem că atacurile de tip DoS (denial-of-service) sunt destul de comune pe tot Internetul.

Aceste atacuri îneacă serverul cu atât de mult trfic încât acesta se prăbușește. Pentru că acestea sunt practici destul de comune în rândul atacatorilor, siteurile crează un fel de armură cu care să se protejeze.

Atacurile lui bitPico îi îndeamnă pe dezvoltatorii lightning să facă exact lucrul acesta și să vină cu metode de a rezolva problema. Mulți dezvoltatori cred că atacurile de acum or să facă rețeaua mai puternică.

De exemplu, susținătorul bitcoin și autorul Andreas Antonopoulos a numit aceste atacuri „testare la liber”. Alți dezvoltatori pur și simplu nu le-au luat în seamă.

„E de așteptat de la orice serviciu expus la Internet și după părerea mea nu se califică drept un atac real”, a spus Pierre-Marie Padiu, director la ACINQ, un startup francez care se află în spatele altui client Lightning.

Dezvoltatorul Alex Bosworth a început să folosească un software de tip firewall, numit iptables, care nu lasă ca acest trafic să dea peste cap tranzacțiile legitime.

Atacurile sunt în desfășurare, propagate de utilizatori ca bitPico care deschid canale de plată infime. Acești utiilzatori trebuie să plătească un comision pentru a le deeschide. De aceea, atacatorii pierd probabil bani atunci când dau acest atac DoS, chiar dacă costă mai puțin de un penny să o faci.

Problema este că clienții Lightning labs, pentru început, nu permit nodurilor să se deconecteze de la aceste canale care dau spam, ceea ce îi încetinește.

În viitor, Bosworth speră ca implementarea Lightning Labs să le permită utlizatorilor să se deconecteze de la participanții suspecți.

Totuși,atacurile sunt doar deranjante. „Irosesc comisioane pentru a face acel canal. Asta mă scoate din sărite”, a spus Bosworth.

Accidente, nu atacuri

Toate acestea arată că deși rețeaua Lightning este pregătită pentru prima oară pentru bani pe bune – desigur, un pas important – încă mai sunt probleme mai mici care  trebuie rezolvate înainte să fie pregătită de utilizarea de zi cu zi, de către utilizatorii cu mai puține cunoștințe tehnice.

Acest lucru s-a văzut foarte bine în altă situație recentă. Ceea ce dezvoltatorii au crezut inițial că este un atac s-a dovedit a fi o simplă greșeală.

Acum mai puțin de o săptămână, Bosworth a scris pe Twitter că un „atacator” a transmis o stare de canal veche care ar fi putut să îi permită utlizatorului să fure bani de la alții.

Pe tema asta, Bosworth a scris pe Twitter că „Cei care dau atacul DoS la Lightning par organizați și motivați.”

Regulile rețelei merg așa cum au fost programate și îl penalizează pe utilizator cu câte 25 de dolari în bitcoin.

„S-a făcut dreptate”, a scris pe Twitter Camarena la momentul respectiv.

„Exact ăsta ar trebui să fie răspunsul. A fost foarte interesant să vedem cum merg lucrurile de-adevăratelea”, a spus Bosworth.

Deși procesul de revocare a funcționat, a arătat că încă mai e nevoie de niște schimbări și că programul nu ar trebui să le permită utilizatorilor să trimită date vechi.

După cum a reieșit, transmiterea de date vechi a fost un accident din partea unui utilizator cu o bază de canal coruptă, care a restaurat un backup vechi și a închis canalele. Când canalele au fost închise, vechia stare de canal a fost transmisă și nodul la care era conectat l-a detectat și l-a categorisit ca fiind fraudulos.

Chiar și așa, dezvoltatorii Lightning văd aceste erori ca pe o experiență din care au de învățat și care va face rețeaua mai rezistentă.

Așa cum a scris și Bosworth pe Twitter:

„Avem o ocazie bună să dezvoltăm strategii de lansare mai robuste.”