Le Lightning Network de Bitcoin est attaqué pour son propre bien

« Oui, nous avons créé un cadre d’attaque pour le Lightning Network. » Le message de « bitPico » à CoinDesk confirmait ce que beaucoup avaient lu dans un groupe de discussion populaire, à savoir que l’utilisateur sous pseudonyme inondait les nœuds de trafic du logiciel avec une « boîte à outils d’attaque » automatisée pour le tester.

À peu près à la même époque, une poignée de développeurs ont signalé le crash de nœuds, les empêchant temporairement d’envoyer des paiements à l’aide de la technologie conçue pour des transactions Bitcoin plus rapides et moins chères.

Le développement intervient alors que de plus en plus d’utilisateurs ont commencé à utiliser le Lightning Network pour envoyer de vrais paiements – bien qu’avec quelques couacs en cours de route – et quelques semaines seulement après Lightning Labs, l’une des nombreuses start-ups construisant des implémentations open-source, a été la première à lancer son produit en version bêta en direct.

Les attaques ont été un incident étrange dans la mesure où les fonds des utilisateurs étaient en sécurité et où l’argent n’était pas volé. En fait, ceux, y compris bitPico, qui attaquent le réseau pourraient même perdre de l’argent.

L’un des premiers à remarquer les attaques, Justin Camarena, développeur de Bitrefill, a été en mesure de réparer le nœud de son entreprise – et facilement.

Mais il était confus quant à la raison pour laquelle quelqu’un attaquerait d’autres nœuds sans l’appât du gain monétaire. Il se demandait pourquoi ils ne signalaient pas simplement tous les problèmes sur GitHub, afin que les développeurs puissent corriger tous les bogues trouvés.

« Ce n’était pas vraiment une attaque pour voler des fonds, mais pour faire une déclaration à mon avis »

a dit Camarena à CoinDesk.

Au début, beaucoup avaient la même impression, puisque bitPico avait été un ardent partisan d’une initiative controversée de mise à l’échelle, et avait continué à valider les avantages d’augmenter le paramètre de taille de bloc, même après que la plupart des participants au réseau aient abandonné le projet.

Mais, selon bitPico, les attaques ne sont pas seulement de la politique, mais aussi de la sécurité : « en tant que personnes qui investissent dans le Bitcoin, nous voulons nous assurer que les solutions de la deuxième couche ne sont pas éliminées ; essayer autant d’attaques que possible est la seule façon d’en être sûr. »

Les vulnérabilités Zero-day sont des failles de sécurité qui ne sont pas connues des développeurs d’un projet. Habituellement, ils sont exploités par des pirates informatiques dans l’espoir de voler des données avant que la vulnérabilité ne soit corrigée.

Mais les attaques de bitPico, qui ont commencé il y a environ 10 jours, ont pour but de tester le logiciel avant qu’un plus grand nombre de personnes commencent à l’utiliser. Et le plan de bitPico semble fonctionner – jusqu’à un certain point.

Selon bitPico, 22 vecteurs d’attaque différents ont été trouvés, et l’utilisateur sous pseudonyme prévoit de poursuivre les attaques pendant encore deux semaines.

Ces attaques noient simplement un serveur avec tellement de trafic qu’ils s’écrasent sous la charge. Et parce qu’il s’agit d’une pratique courante chez les cybercriminels, les sites Web développent généralement des armures pour se protéger contre eux.

En effet, les attaques de bitPico incitent les développeurs de Lightning à le faire, en proposant diverses solutions possibles. Et beaucoup de développeurs croient que ces attaques actuelles mettront en place le réseau avec le succès.

Par exemple, l’avocat de Bitcoin et auteur Andreas Antonopoulos a appelé les attaques « free testing » (test libre), alors que certains développeurs ont juste ri.

« Franchement, c’est ce à quoi il faut s’attendre pour tout service qui est exposé à l’Internet et ceci ne constitue pas une véritable attaque à mon avis »

a déclaré Pierre-Marie Padiou, PDG de l’ACINQ, une startup française.

Le développeur Alex Bosworth a commencé à utiliser un logiciel de pare-feu, appelé iptables, pour empêcher ce trafic de perturber les transactions légitimes.

Mais les attaques sont en cours, propagées par des utilisateurs comme bitPico ouvrant de minuscules canaux de paiement (c’est la façon dont les attaquants perdent probablement de l’argent dans DoSing le réseau – bien qu’il ça ne coûte rien du tout en réalité).

C’est un problème dans la mesure où le client Lightning Labs, par exemple, ne permet pas encore aux nœuds de se déconnecter de ces canaux de spam, les ralentissant ainsi.

A l’avenir, Bosworth espère que l’implémentation des Lightning Labs permettra aux utilisateurs de se déconnecter de leurs pairs suspects.

Pourtant, les attaques ne sont que ce que Bosworth et Camerena appellent une « gêne ». « Ils ont gaspillé leur argent pour faire cette chaîne. C’est juste que ça m’embête » dit Bosworth.

Tout cela montre que si le Lightning Network est prêt à recevoir de l’argent réel pour la première fois – un grand pas, c’est sûr – il y a encore un certain nombre de petits problèmes qui doivent être résolus avant qu’il ne soit prêt pour les utilisateurs lambdas peu initiés à la technologie.

Cela a été mis en évidence dans un autre scénario récemment : ce que les développeurs ont d’abord cru être une attaque, puis s’est avéré être une simple erreur.

Il y a un peu plus d’une semaine, Bosworth a tweetté qu’un « attaquant » a diffusé un ancien « état de canal », ce qui aurait pu permettre à l’utilisateur de voler efficacement les fonds d’un autre utilisateur.

Mais les règles du réseau ont fonctionné comme prévu, pénalisant l’utilisateur de 25 $ en valeur de bitcoin à la place.

Cependant, bien que le processus de révocation ait fonctionné, il a également montré qu’il y a encore plus de modifications nécessaires, car le logiciel n’aurait pas dû permettre à l’utilisateur d’envoyer d’anciennes données en premier lieu.

La diffusion des anciennes données a été un accident de la part d’un utilisateur avec une base de données de canaux corrompus, qui a restauré une ancienne sauvegarde et a fermé ses canaux. Lorsque les canaux ont été fermés, les anciens états des canaux ont été diffusés et le nœud auquel il était connecté l’a détecté et l’a classé dans la catégorie des fraudes.

Néanmoins, les développeurs du Lightning Network considèrent ces erreurs comme de bonnes expériences d’apprentissage qui mèneront finalement à un réseau plus complexe.

Tandis que Bosworth tweettait :

« nous avons une bonne occasion de développer de solides stratégies de déploiement pair à pair. »

Librement traduit de Coindesk

Je suis un entrepreneur et un passionné d’économie de 36 ans, j’ai acheté mon premier bitcoin en aout 2015.