Lightning Network’te Bitcoin gaspına olanak tanıyan güvenlik açığı

Square’in kripto para departmanında çalışan bir geliştirici, fonların Lightning Network’ten çekilmesini sağlayan bir saldırı sistemini ortaya çıkardı.

Lightning Network ve Bitcoin geliştiricilerinin mail listelerinde dolaşan bir iddiaya göre; Blockstream kurucu ortağı ve Square’in kripto departmanı için yakın zamanda işe kabul ettiği Matt Corallo, potansiyel bir Lightning Network saldırı vektörünü açığa çıkardı.

Ölçeklendirme sorununa bir çözüm olarak geliştirilen Lightning Network, Bitcoin’deki işlem maliyetini düşürmenin yanı sıra, gizliliği ve hızı da geliştirmeyi amaçlıyor. Ağın geliştirilmesi hala devam ediyor ancak bu süreçte de çeşitli sorunlar ortaya çıkıyor.

Corallo, Lightning Network’ün yeni bir yönünü incelediği esnada, kullanıcıların teorik olarak Hash Kilitli-Zaman kontratlarındaki (HTLC-Hash Time-Locked Contract) fonları çekebilmesine olanak tanıyan bir hata buldu. HTLC’ler aslında, ödemeyi alacak olan tarafın, ödemenin kriptografik kanıtını oluşturarak onu konfirme etmesini ya da ödemeyi talep etmekten vazgeçmesini sağlayan akıllı sözleşmeler. Eğer ödeme konfirme edilmediyse, parayı gönderen taraf bir geri alma talep edebilir.

Saldırı mekanizması, para iadesini engelliyor

Saldırı mekanizması ise alıcının, karşı tarafın parayı geri almasını engellemesine olanak tanıyor. Corallo sorunla ilgili birkaç çözüm önerse de, bunların hiçbirinin kolay ya da çok başarılı olacağını iddia etmiyor. Yine de geliştici Corallo, sorunun acil çözülmesi gereken bir durum olmadığını ve bu hatayı şu anda kaldırmanın da mantıksız olacağını ileri sürdü.

Corallo’nun bu hatayı bulduğunu söylemesi ise birkaç hafta önce bazı araştırmacıların Lightning Network’teki gizlilikle ilgili sorunlardan bahsetmesini hatırlatıyor. Ağa yapılan sayısız saldırının ardından araştırmacılar, işlem hareketlerini ve gönderici ve alıcıları tespit etmeyi başarmışlardı.