L'ingénieur Conner Fromknecht, responsable de l'ingénierie cryptographique chez Lightning Labs. Fromknecht a déclaré le 9 octobre 2020 a déclaré avoir trouvé une vulnérabilité affectant la version LND 0.10 et les versions antérieures du Lightning Network.
Le lightning network est une solution technologique destinée à résoudre le problème de la vitesse des transactions sur la Blockchain bitcoin.
Le Bitcoin a été mis en circulation pour la première fois en 2008 mais en raison de sa construction, le réseau Bitcoin souffre de vitesses de transaction lentes et de coûts de transaction élevés. Les transactions de Bitcoin sont manuelles ; le temps de blocage ou la vitesse de transaction de Bitcoin est de quelques minutes. Bitcoin n'a été alors capable de traiter qu'environ 7 transactions par seconde. En conséquence, les transactions prennent beaucoup de temps à être traitées et les frais de transaction sont exorbitants.
La blockchain est une liste croissante d'enregistrements, appelés blocs, qui sont liés par cryptographie. Chaque bloc contient un hachage cryptographique du bloc précédent, un horodatage, et des données de transaction. C’est comme un grand livre public distribué qui continue à se développer et à s'agrandir à mesure que de nouveaux blocs s'ajoutent. Les blocs s'additionnent chronologiquement.
De par sa conception, une blockchain est résistante à la modification des données ; elle peut enregistrer les transactions entre deux parties de manière efficace, vérifiable et permanente. En stockant les données sur son réseau peer-to-peer, la blockchain est une technologie de registre distribué (DLT) qui permet de stocker des données à l'échelle mondiale sur des milliers de serveurs et il est donc difficile pour un utilisateur de modifier les données.
C’est la raison pour laquelle Joseph Poon et Thaddeus Dryja en 2015 ont proposé une solution pour résoudre ces problèmes (délai de transaction, sécurité). Leur solution a été d’apporter une deuxième couche supplémentaire qui est constituée de plusieurs canaux de paiement entre les parties ou les utilisateurs de bitcoins.
D’où, le recours et le développement du Lightning network, technologie qui utilise les canaux de micro paiement pour accroître la capacité de sa blockchain à effectuer des transactions plus efficacement.
Le canal du réseau Lightning est un mécanisme de transaction entre deux parties. Grâce à ces canaux, les parties peuvent effectuer ou recevoir des paiements l'une de l'autre. En d’autres termes, les canaux de paiement permettent aux participants de transférer de l'argent entre eux sans avoir à rendre publiques toutes leurs transactions sur la blockchain.
Sur le lightning network :
Elles peuvent mettre à jour leurs affectations individuelles pour l'entrée de grand livre en créant de nombreuses transactions de dépenses à partir de la sortie de l'entrée de grand livre actuelle.
Conséquemment, les transactions effectuées sur le lightning network sont plus rapides, moins coûteuses et plus facilement confirmées que celles effectuées directement sur la blockchain bitcoin.
Le lightning network peut également être utilisé pour effectuer d'autres types de transactions off-chain impliquant des échanges entre crypto-monnaies.
Par exemple, il est utile pour faciliter les échanges atomiques (atomic swap) qui permettent d'échanger une crypto contre une autre sans l'intervention d'un intermédiaire, comme les échanges de cryptomonnaies.
Depuis sa création network, le lightning network est toujours en cours de développement ; Le problème qui a été conçu pour résoudre est la lenteur du temps de transaction et du débit de bitcoin, qui reste à environ sept transactions par seconde (tps).
En juin 2020, deux chercheurs spécialisés sur les cryptomonnaies nommés Jona Harris et Aviv Zohar affirment avoir trouvé un moyen de voler des fonds sur le réseau Bitcoin Lightning Network.
Ils ont avancés dans un document de recherche, intitulé 'Flood & Loot : A Systemic Attack On The Lightning Network' que des attaquants avisés pourraient être en mesure de 'piller' les bitcoins des autres par le biais du Lightning Network si les utilisateurs ne sont pas prudents.
'Flood & Loot : A Systemic Attack On The Lightning Network' est le résultat d’une recherché faite par les informaticiens Jona Harris et Aviv Zohar de l'Université hébraïque de Jérusalem qui ont étudié de plus près une attaque 'systémique' du réseau Lightning Network.
Ces chercheurs ont constaté que parmi les risques qui a été identifié très tôt est celui d'une attaque systémique à grande échelle du protocole, dans laquelle un attaquant déclenche la fermeture de plusieurs canaux Lightning en même temps. Les chercheurs ont affirmé :
'Nous découvrons qu'une grande majorité des nœuds actifs (95%) sont prêts à ouvrir un canal sur demande, et sont donc susceptibles de devenir des victimes dans notre attaque'
D’après les recherches de Jona Harris et Aviv Zohar, un attaquant est capable d'amener simultanément les nœuds victimes à surcharger la blockchain de Bitcoin avec des requêtes et à voler des fonds qui étaient bloqués dans les canaux. Ils ont déclaré :
'Le volume élevé de transactions qui en résulte dans la blockchain ne permettra pas de régler correctement toutes les dettes, et les attaquants pourraient s'en tirer en volant certains fonds'.
Toutefois, les chercheurs ont noté qu’il est possible d’éviter ce problème en trouvant un moyen de repérer les pirates avant qu'ils n'attaquent. Mais malheureusement, on a récemment découvert une autre vulnérabilité dans le réseau lightning network.
Une vulnérabilité dans les versions LND 0.10.x a été découverte et communiquée aux Lightning Labs, le développeur du Lightning Network.
Le développeur Lightning Conner Fromknecht a révélée le 9 octobre dernier dans la liste de diffusion du projet, dans laquelle il était conseillé aux opérateurs de nœuds de mettre à jour leur logiciel dès que possible.
'Bien que nous n'ayons aucune raison de croire que ces vulnérabilités ont été exploitées dans la nature, nous demandons instamment à la communauté de passer à la version 0.11.0 ou supérieure de la LND dès que possible,'
Le Lightning Network Daemon (LND) est une implémentation Golang complète d'un nœud Lightning Network conforme à BOLT, développé par Lightning Labs. Il peut se connecter aux Lightning Networks déployés sur Bitcoin et Litecoin. C’est un logiciel open source en développement très actif sur GitHub.
En d’autres termes, le Lightning Network Daemon (LND) est un réseau superposé construit sur un protocole de blockchain existant en créant une couche entièrement nouvelle, fournissant des transactions instantanées et de grand volume qui sont désignées dans la devise standard de la blockchain.
Cette vulnérabilité récemment découverte pourrait affecter toutes les versions LND 0.10 et les versions antérieures mais la version 0.11 qui a été publiée fin août et contenait la mise à jour, la plupart des opérateurs de nœuds Lightning ayant donc déjà effectué la mise à niveau vers la v0.11.0.
L’annonce a été publiée le 9 octobre 2020 par Conner Fromknecht, ingénieur en protocole de Lightning Network (LN), qui dirige l'ingénierie cryptographique de Lightning Labs.
Lighting Labs a également annoncé des plans pour un programme de prime aux bugs où les développeurs seront récompensés par des incitations financières pour découvrir les futurs bugs.
Le Lightning network est une solution dédiée à améliorer la vitesse des transactions sur la Blockchain des bitcoins; toutefois le réseau est toujours en développement et comporte lui-même des vulnérabilités. Cela veut-il dire que les problèmes sur la blockchain bitcoin s’avèrent impossible à résoudre ?
Ecrit par Laetitia Harson, Chef de Projet
Cartam: Marketplace gratuite pour les utlisateurs de cryptomonnaies
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.