Lightning Network, „In vielen Fällen immer noch #reckless“ – René Pickhardt über das Lightning-Netzwerk

Quelle: Enid Valu

„In vielen Fällen immer noch #reckless“ – René Pickhardt über das Lightning-Netzwerk

Jüngst machten besorgniserregende Neuigketen über eine Sicherheitslücke im Lightning-Netzwerk die Runde. Es soll sogar schon zu einem Exploit derselben gekommen sein. Alles FUD oder wirklicher Grund zur Sorge?

Um diese Frage zu klären, sprachen wir mit René Pickhardt. Also einer der Co-Autoren des jüngst angekündigten Buches „Mastering the Lightning Network“. Er leistet beispielsweise auf YouTube einen wichtigen Dienst bei der Verbreitung von Expertise rund um das Thema Lightning-Netzwerk.

BTC-ECHO: René, am 30. August machte Rusty Russell auf einen Fehler im Lightning-Netzwerk aufmerksam. Genauere Infos zu diesem Bug, der unter CVE-2019-12998, CVE-2019-12999 und CVE-2019-13000 auf der National Vulnerability Database geführt wird, veröffentlichte er am 27. September. Kannst du kurz erklären, was es mit diesem Bug auf sich hatte?

René Pickhardt: Es war möglich, der Channelpartnerin glaubhaft zu machen, dass man einen (gefälschten) Zahlungskanal geöffnet hat, der in Wirklichkeit gar nicht existierte bzw. über den die Partnerin gar keine Kontrolle der Funds hatte. Regulär ist ja die ganze Idee des Protokolls, sicherzustellen, dass beide Seiten – ohne einander trauen zu müssen – Kontrolle über ihre Funds im Zahlungskanal haben.

In diesem Fall war das Problem, dass die Channelpartnerin beim Protokoll zum Öffnen des Kanals lediglich geprüft hat, ob es eine sogenannte Funding-Transaktion gibt. Ob diese tatsächlich an eine 2-2 Multisignature Wallet ging, wurde einfach vergessen zu prüfen. Solange sich die öffnende Person an das Protokoll gehalten hat, war das kein Problem.

Falls nicht, konnte die Person, die diese Attacke durchführte, diesen (gefälschten) Zahlungskanal ohne Hilfe der Partnerin auch wieder schließen und dann alle Funds bekommen, die im Kanal waren – unabhängig davon, ob die Partnerin glaubte, dass diese gerade verteilt sind.


Lightning Network, „In vielen Fällen immer noch #reckless“ – René Pickhardt über das Lightning-Netzwerk
[Anzeige]
Bitcoin kaufen mit dem Bitwala Konto. Warum ein Bankkonto bei Bitwala? Ein Bankkonto “Made in Germany” mit Einlagensicherung bis zu 100.000 Euro; 24/7 Bitcoin Handel mit schneller Liquidität; Gehandelt werden ausschließlich ‘echte’ Bitcoin – keine Finanzderivate wie CFDs; Sichere Nutzerkontrolle über das Bitcoin Wallet und den private Schlüssel; Mit der kontaktlosen Debit-Mastercard weltweit abheben und bezahlen.

Jetzt kostenloses Konto eröffnen

Ab jetzt ist das Szenario eigentlich klar. Ich öffne einen (gefälschten) Zahlungskanal und schicke über diesen Geld an jemandem im Lightning-Netzwerk. Meine Partnerin routet das Payment weiter, weil sie glaubt, sie würde in unserem Kanal anschließend mehr Funds haben. Dass sie diese niemals bekommen kann, merkt sie erst, wenn ich den gefälschten Kanal schließe. Somit hätte ich effektiv meiner Partnerin Geld geklaut.

BTC-ECHO: Manchen mag es verwirren, dass ein Fehler in einer Mail kurz erwähnt und erst knapp einen Monat später die Sicherheitslücke genauer erklärt wird. Ist dieses Vorgehen normal und wenn ja, was ist der Gedanke dahinter?

René Pickhardt: Ja, das ist normal. Hier wird der große Vorteil von Open-Source-Projekten zum Nachteil. Weil jeder alles nachlesen kann, würde ein Bug, nachdem er mit einem Patch angekündigt wurde, recht schnell ausgenutzt werden können. Die Annahme ist, dass es Zeit braucht, bis die meisten Menschen mitbekommen haben, dass eine Sicherheitslücke bekannt wurde und sie diese durch ein Software Update aktualisiert haben. Daher ist die Vorgehensweise, einen derartigen Bug heimlich zu beheben und erst verzögert anzukündigen, dass der Bug bekannt wurde und Clients ab einer bestimmten Version wieder sicher sind. Anschließend gibt man noch ein wenig Zeit, bis es richtig offengelegt wird.

BTC-ECHO: Am 10. September wies der Entwickler Olaoluwa Osuntokun darauf hin, dass diese Schwachstelle bereits ausgenutzt wurde. Anders als bei anderen Sicherheitslücken – beispielsweise beim legendären DAO-Exploit 2016 – war zum einen die Stimmung in den sozialen Medien vergleichsweise ruhig. Auch fiel der Bitcoin-Kurs nicht direkt im Anschluss ins Bodenlose. Wie erklärst du dir die Ruhe? War es mangelndes Interesse, ist die Krypto-Szene erwachsener geworden oder ist man in diesem Fall mit der Kommunikation des Fehlers besser vorgegangen?

René Pickhardt: Ich denke beim Lightning-Netzwerk ist es so, dass wir alle selbst immer noch sagen, dass die Software noch in der Testphase ist. Klar kann ich das Lightning-Netzwerk schon verwenden und begeistert sein, dass es klappt, aber es gilt in vielen Fällen immer noch #reckless. Auch war die Aussage von Olaoluwa sehr vage. Es ist jetzt nicht so gewesen, dass sich eine Börse gemeldet hat und massiv Gelder verloren hatte wegen des Bugs. Das könnte natürlich auch noch daran liegen, dass Lightning aus gutem Grund immer noch nicht so weit verbreitet ist.
Bei Bitcoin gab es in den ersten 2 Jahren ja auch einige Bugs und sogar einen Rollback der Blockchain und es hatte damals niemanden gestört. Mit Lightning stehen wir halt auch noch am experimentellen Anfang. Das Netzwerk ist effektiv noch keine 2 Jahre online.

BTC-ECHO: Was sind nun die Hausaufgaben für Nutzer des Lightning-Netzwerks? Sicher, Nutzer von c-lightning, eclair und lnd müssen jetzt auf die neuen Client-Versionen updaten, aber was sollten Nutzer tun, die keinen eigenen Full Node haben? Wie können sie überprüfen, ob der Lightning-Anbieter ihrer Wahl das Upgrade durchgeführt hat?

René Pickhardt: Die Version einer Lightning Node lässt sich innerhalb des Netzwerks nicht überprüfen. Nur wer seine eigene Node betreibt, kann auch updaten. Wenn jemand eine Custodial Wallet verwendet, muss er oder sie vertrauen, dass die Anbieterin schon alles richtig gemacht und geupdatet hat. Das ist ja das prinzipielle Problem mit Custodial Wallets, weshalb trotz der Bequemlichkeit oft davon abgeraten wird, diese zu nutzen.
Grundsätzlich wäre es auch sehr wünschenswert, wenn mehr Menschen mehr Zeit in die Entwicklung des Lightning-Netzwerkes stecken könnten.

BTC-ECHO: Gerade im Nachgang dieses Bugs merkt man mal wieder „don’t trust, verify“ und DYOR sind nicht einfach zwei Floskeln. Kenntnis darüber, wie Bitcoin und das Lightning-Netzwerk funktionieren, ist essentiell. Derartige Aufklärungsarbeit ist dir nicht fremd. Nun schreibst du zusammen mit Andreas Antonopoulos und Olaloluwa Osuntokun das Buch „Mastering the Lightning Network“. Für wen wird das Buch geschrieben sein – und gibt es schon erste Leseproben?

René Pickhardt: Wir sind gerade in der Planungsphase, die Struktur des Buches festzulegen und arbeiten dabei in einem offenen Prozess auf Github. Ich denke, wir werden uns beim Aufbau und der Zielgruppe an Mastering Bitcoin orientieren. Ich verstehe es so, dass interessierte Enthusiasten auf jeden Fall etwas aus dem Buch mitnehmen können; es wird aber auf jeden Fall auch tiefergehende Kapitel für IT-ler und Developer beinhalten, die etwas mit dem Lightning-Netzwerk bauen wollen. Wer wirklich am Protokoll mitentwickeln möchte – und der Bug hat ja gezeigt, dass wir mehr Augen benötigen, die mit drauf gucken – wird mit dem Buch sicherlich einen Einstieg finden, sollte aber vermutlich die BOLTs lesen.

BTC-ECHO: Du wirst auf der Lightning Conference in Berlin auch zugegen sein. Kannst du schon sagen, über was für ein Thema du sprechen wirst?

René Pickhardt: Ich bin zeitlich gerade leider etwas eingebunden, weswegen ich nicht mal die YouTube-Videos schaffe, die ich gerne schaffen möchte. Wenn es die Zeit hergibt, möchte ich endlich mal ein wenig strukturierter über Pathfinding-Strategien reden. Also über die Frage, wie wir sicherstellen können, dass Zahlungen über das Lightning-Netzwerk auch immer schnell ankommen. Meine Idee ist es, da zukünftig etwas mehr Recherche zu betreiben. Dabei hilft es, überhaupt erst einmal einen Überblick über die verschiedenen Ideen zu bekommen, die gerade existieren. Also JIT, AMP, Trampolines, Rendezvous, Permuteroute…

Mehr zum Thema:

Ähnliche Artikel

Lightning Network, „In vielen Fällen immer noch #reckless“ – René Pickhardt über das Lightning-Netzwerk
GateHub kämpft mit gewaltigem Datenleck – 1,4 Millionen Accounts offengelegt
Sicherheit

Der Wallet-Betreiber GateHub muss mit einem gewaltigem Datenleck kämpfen. Im Zuge eines Hacks gelangten zuletzt die Kontoinformationen von insgesamt 1,4 Millionen Nutzern an die Öffentlichkeit. Ein Sicherheitsexperte will nun die Echtheit der Daten überprüft haben.

Lightning Network, „In vielen Fällen immer noch #reckless“ – René Pickhardt über das Lightning-Netzwerk
China: Huawei entwickelt Regierungsblockchain
Blockchain

Der chinesische Technologie-Konzern Huawei entwickelt eine Blockchain für die chinesische Regierung, um den Datenaustausch zwischen politischen Institutionen und öffentlichen Behörden zu optimieren. Statt vieler zentraler Datensilos soll mit der Blockchain ein dezentrales Register eingesetzt werden. Huawei schafft somit eine Infrastruktur, die den politischen Interessen der Parteiführung in die Karten spielt.

Newsletter

Die aktuellsten News kostenlos per E-Mail

Aktuell

Lightning Network, „In vielen Fällen immer noch #reckless“ – René Pickhardt über das Lightning-Netzwerk
GateHub kämpft mit gewaltigem Datenleck – 1,4 Millionen Accounts offengelegt
Sicherheit

Der Wallet-Betreiber GateHub muss mit einem gewaltigem Datenleck kämpfen. Im Zuge eines Hacks gelangten zuletzt die Kontoinformationen von insgesamt 1,4 Millionen Nutzern an die Öffentlichkeit. Ein Sicherheitsexperte will nun die Echtheit der Daten überprüft haben.

Lightning Network, „In vielen Fällen immer noch #reckless“ – René Pickhardt über das Lightning-Netzwerk
Bitcoin ETF: SEC gibt Bitwise-Antrag zweite Chance
Invest

Der Bitwise Bitcoin ETF erhält eine zweite Chance, von der US-amerikanischen Börsenaufsichtsbehörde SEC durchgewunken zu werden. Was die Behörde zu dem Sinneswandel bewegt hat, ist bislang noch unklar. Die Behörde sammelt nun bis zum 18. Dezember weitere Meinungen zur Causa Bitwise Bitcoin ETF. Mit einer endgültigen Entscheidung ist wohl erst 2020 zu rechnen.

Lightning Network, „In vielen Fällen immer noch #reckless“ – René Pickhardt über das Lightning-Netzwerk
Bearishes Signal? Bitcoin Miner kapitulieren
Bitcoin

Das Bitcoin Hash Ribbon hat sich gedreht. Dies deutet auf die Kapitulation einer Vielzahl von Minern hin. Doch wie berechtigt ist die Angst vor einem Abrutschen des Kurses?

Lightning Network, „In vielen Fällen immer noch #reckless“ – René Pickhardt über das Lightning-Netzwerk
China: Huawei entwickelt Regierungsblockchain
Blockchain

Der chinesische Technologie-Konzern Huawei entwickelt eine Blockchain für die chinesische Regierung, um den Datenaustausch zwischen politischen Institutionen und öffentlichen Behörden zu optimieren. Statt vieler zentraler Datensilos soll mit der Blockchain ein dezentrales Register eingesetzt werden. Huawei schafft somit eine Infrastruktur, die den politischen Interessen der Parteiführung in die Karten spielt.

Angesagt

„Brücke des Vertrauens“: VeChain und Partner lancieren Blockchain-Plattform
Blockchain

Blockchainbasierte Plattformen für das Tracking von Produkten schießen jüngst wie Pilze aus dem Boden. Das aktuelle Beispiel: Foodgates. Die Lebensmittelplattform operiert auf der öffentlichen Blockchain von VeChain, zudem möchte sie eine interkontinentale „Brücke des Vertrauens“ zwischen Frankreich und China schlagen.

Malware-Alarm: Schadsoftware auf Monero-Website führt zu Coin-Verlust
Altcoins

Auf getmonero.com kursiert Schadsoftware. Nach Angaben des Monero Core Teams, ist die offizielle Monero (XMR) Wallet mit Malware belegt. Nutzer sollten kürzlich heruntergeladene Monero Wallets nicht arglos in Betrieb nehmen – es droht der Verlust von eingezahlten Coins.

Deutsche Börse und Swisscom tokenisieren Wertpapiere
Blockchain

Deutsche Börse und Swisscom haben gemeinsam mit der Falcon Private Bank, Vontobel und der Zürcher Kantonalbank Wertpapiergeschäfte mit tokenisierten Aktien auf Blockchain-Basis abgewickelt. Durch diesen Proof of Concept zeigen die Partnerbanken auf, wie eine Wertpapierabwicklung von Aktien kleiner und mittlerer Unternehmen (KMU) mittels DLT künftig aussehen könnte.

Über den Wolken: Hahn Air verkündet Blockchain-Jungfernflug
Blockchain

Der deutschen Charter Airline Hahn Air ist nach eigenen Angaben eine Weltpremiere geglückt. In einem Testlauf gelang der Fluggesellschaft die erste mithilfe von Blockchain-Technologie verwaltete Flugreise. Dabei wurden Angebot, Reservierung und Bezahlung der Tickets vollständig mithilfe der Open-Source-Plattform des Schweizer Blockchain-Start-ups Winding Tree abgewickelt.

Warte mal kurz ... !

Kennst du schon unseren Newsletter? Wir versorgen dich kostenlos mit den spannendsten News der Krypto- und Blockchainszene: