„In vielen Fällen immer noch #reckless“ – René Pickhardt über das Lightning-Netzwerk
Dr. Philipp Giese

von Dr. Philipp Giese

Am · Lesezeit: 6 Minuten

Rene Pickhard auf dem Lightning Hackday Munich

Quelle: Enid Valu

Teilen
BTC55,066.00 $ -1.99%

Jüngst machten besorgniserregende Neuigketen über eine Sicherheitslücke im Lightning-Netzwerk die Runde. Es soll sogar schon zu einem Exploit derselben gekommen sein. Alles FUD oder wirklicher Grund zur Sorge?

Um diese Frage zu klären, sprachen wir mit René Pickhardt. Also einer der Co-Autoren des jüngst angekündigten Buches „Mastering the Lightning Network“. Er leistet beispielsweise auf YouTube einen wichtigen Dienst bei der Verbreitung von Expertise rund um das Thema Lightning-Netzwerk.

kryptokompass
BTC-ECHO Magazin (5/2021): Social Token - das nächste große Ding?

Das Branchenmagazin für Bitcoin und Blockchain Investoren.

Exklusive Top-Themen für ein erfolgreiches Investment:
• Investment Trend: Social Token
Coinbase-Börsengang
• Die 5 größten Bitcoin-Crashs
• Marktanalyse vom Profi-Trader
• Bitcoin Mining mit Hashrate Token


Kostenfreie Ausgabe bestellen >>


BTC-ECHO: René, am 30. August machte Rusty Russell auf einen Fehler im Lightning-Netzwerk aufmerksam. Genauere Infos zu diesem Bug, der unter CVE-2019-12998, CVE-2019-12999 und CVE-2019-13000 auf der National Vulnerability Database geführt wird, veröffentlichte er am 27. September. Kannst du kurz erklären, was es mit diesem Bug auf sich hatte?

René Pickhardt: Es war möglich, der Channelpartnerin glaubhaft zu machen, dass man einen (gefälschten) Zahlungskanal geöffnet hat, der in Wirklichkeit gar nicht existierte bzw. über den die Partnerin gar keine Kontrolle der Funds hatte. Regulär ist ja die ganze Idee des Protokolls, sicherzustellen, dass beide Seiten – ohne einander trauen zu müssen – Kontrolle über ihre Funds im Zahlungskanal haben.

In diesem Fall war das Problem, dass die Channelpartnerin beim Protokoll zum Öffnen des Kanals lediglich geprüft hat, ob es eine sogenannte Funding-Transaktion gibt. Ob diese tatsächlich an eine 2-2 Multisignature Wallet ging, wurde einfach vergessen zu prüfen. Solange sich die öffnende Person an das Protokoll gehalten hat, war das kein Problem.

Falls nicht, konnte die Person, die diese Attacke durchführte, diesen (gefälschten) Zahlungskanal ohne Hilfe der Partnerin auch wieder schließen und dann alle Funds bekommen, die im Kanal waren – unabhängig davon, ob die Partnerin glaubte, dass diese gerade verteilt sind.

Ab jetzt ist das Szenario eigentlich klar. Ich öffne einen (gefälschten) Zahlungskanal und schicke über diesen Geld an jemandem im Lightning-Netzwerk. Meine Partnerin routet das Payment weiter, weil sie glaubt, sie würde in unserem Kanal anschließend mehr Funds haben. Dass sie diese niemals bekommen kann, merkt sie erst, wenn ich den gefälschten Kanal schließe. Somit hätte ich effektiv meiner Partnerin Geld geklaut.

Wie kaufe ich Bitcoin? Ratgeber und Anbietervergleich 2021

Wir erklären dir schnell und einfach wie du Bitcoin sicher und günstig kaufen kannst und worauf du dabei achten solltest!

Zum Ratgeber >>


BTC-ECHO: Manchen mag es verwirren, dass ein Fehler in einer Mail kurz erwähnt und erst knapp einen Monat später die Sicherheitslücke genauer erklärt wird. Ist dieses Vorgehen normal und wenn ja, was ist der Gedanke dahinter?

René Pickhardt: Ja, das ist normal. Hier wird der große Vorteil von Open-Source-Projekten zum Nachteil. Weil jeder alles nachlesen kann, würde ein Bug, nachdem er mit einem Patch angekündigt wurde, recht schnell ausgenutzt werden können. Die Annahme ist, dass es Zeit braucht, bis die meisten Menschen mitbekommen haben, dass eine Sicherheitslücke bekannt wurde und sie diese durch ein Software Update aktualisiert haben. Daher ist die Vorgehensweise, einen derartigen Bug heimlich zu beheben und erst verzögert anzukündigen, dass der Bug bekannt wurde und Clients ab einer bestimmten Version wieder sicher sind. Anschließend gibt man noch ein wenig Zeit, bis es richtig offengelegt wird.

BTC-ECHO: Am 10. September wies der Entwickler Olaoluwa Osuntokun darauf hin, dass diese Schwachstelle bereits ausgenutzt wurde. Anders als bei anderen Sicherheitslücken – beispielsweise beim legendären DAO-Exploit 2016 – war zum einen die Stimmung in den sozialen Medien vergleichsweise ruhig. Auch fiel der Bitcoin-Kurs nicht direkt im Anschluss ins Bodenlose. Wie erklärst du dir die Ruhe? War es mangelndes Interesse, ist die Krypto-Szene erwachsener geworden oder ist man in diesem Fall mit der Kommunikation des Fehlers besser vorgegangen?

René Pickhardt: Ich denke beim Lightning-Netzwerk ist es so, dass wir alle selbst immer noch sagen, dass die Software noch in der Testphase ist. Klar kann ich das Lightning-Netzwerk schon verwenden und begeistert sein, dass es klappt, aber es gilt in vielen Fällen immer noch #reckless. Auch war die Aussage von Olaoluwa sehr vage. Es ist jetzt nicht so gewesen, dass sich eine Börse gemeldet hat und massiv Gelder verloren hatte wegen des Bugs. Das könnte natürlich auch noch daran liegen, dass Lightning aus gutem Grund immer noch nicht so weit verbreitet ist.
Bei Bitcoin gab es in den ersten 2 Jahren ja auch einige Bugs und sogar einen Rollback der Blockchain und es hatte damals niemanden gestört. Mit Lightning stehen wir halt auch noch am experimentellen Anfang. Das Netzwerk ist effektiv noch keine 2 Jahre online.

BTC-ECHO: Was sind nun die Hausaufgaben für Nutzer des Lightning-Netzwerks? Sicher, Nutzer von c-lightning, eclair und lnd müssen jetzt auf die neuen Client-Versionen updaten, aber was sollten Nutzer tun, die keinen eigenen Full Node haben? Wie können sie überprüfen, ob der Lightning-Anbieter ihrer Wahl das Upgrade durchgeführt hat?

René Pickhardt: Die Version einer Lightning Node lässt sich innerhalb des Netzwerks nicht überprüfen. Nur wer seine eigene Node betreibt, kann auch updaten. Wenn jemand eine Custodial Wallet verwendet, muss er oder sie vertrauen, dass die Anbieterin schon alles richtig gemacht und geupdatet hat. Das ist ja das prinzipielle Problem mit Custodial Wallets, weshalb trotz der Bequemlichkeit oft davon abgeraten wird, diese zu nutzen.
Grundsätzlich wäre es auch sehr wünschenswert, wenn mehr Menschen mehr Zeit in die Entwicklung des Lightning-Netzwerkes stecken könnten.

BTC-ECHO: Gerade im Nachgang dieses Bugs merkt man mal wieder „don’t trust, verify“ und DYOR sind nicht einfach zwei Floskeln. Kenntnis darüber, wie Bitcoin und das Lightning-Netzwerk funktionieren, ist essentiell. Derartige Aufklärungsarbeit ist dir nicht fremd. Nun schreibst du zusammen mit Andreas Antonopoulos und Olaloluwa Osuntokun das Buch „Mastering the Lightning Network“. Für wen wird das Buch geschrieben sein – und gibt es schon erste Leseproben?

René Pickhardt: Wir sind gerade in der Planungsphase, die Struktur des Buches festzulegen und arbeiten dabei in einem offenen Prozess auf Github. Ich denke, wir werden uns beim Aufbau und der Zielgruppe an Mastering Bitcoin orientieren. Ich verstehe es so, dass interessierte Enthusiasten auf jeden Fall etwas aus dem Buch mitnehmen können; es wird aber auf jeden Fall auch tiefergehende Kapitel für IT-ler und Developer beinhalten, die etwas mit dem Lightning-Netzwerk bauen wollen. Wer wirklich am Protokoll mitentwickeln möchte – und der Bug hat ja gezeigt, dass wir mehr Augen benötigen, die mit drauf gucken – wird mit dem Buch sicherlich einen Einstieg finden, sollte aber vermutlich die BOLTs lesen.

BTC-ECHO: Du wirst auf der Lightning Conference in Berlin auch zugegen sein. Kannst du schon sagen, über was für ein Thema du sprechen wirst?

René Pickhardt: Ich bin zeitlich gerade leider etwas eingebunden, weswegen ich nicht mal die YouTube-Videos schaffe, die ich gerne schaffen möchte. Wenn es die Zeit hergibt, möchte ich endlich mal ein wenig strukturierter über Pathfinding-Strategien reden. Also über die Frage, wie wir sicherstellen können, dass Zahlungen über das Lightning-Netzwerk auch immer schnell ankommen. Meine Idee ist es, da zukünftig etwas mehr Recherche zu betreiben. Dabei hilft es, überhaupt erst einmal einen Überblick über die verschiedenen Ideen zu bekommen, die gerade existieren. Also JIT, AMP, Trampolines, Rendezvous, Permuteroute…

Wie kaufe ich Dogecoin? Ratgeber und Anbietervergleich 2021

Wir erklären dir schnell und einfach wie du Dogecoin sicher und günstig kaufen kannst und worauf du dabei achten solltest!

Zum Ratgeber >>


Teilen
Die aktuellsten News kostenlos per E-Mail
Ich stimme zu, dass meine E-Mail-Adresse für den Versand des Newsletters gespeichert und verarbeitet wird. Weitere Hinweise

1. Ausgabe kostenlos testen

Das Bitcoin & Blockchain Magazin

1. Ausgabe kostenlos testen

Das führende Bitcoin & Blockchain Szene Magazin

In Print und Digital verfügaber

Neue Investmentchancen verstehen und ergreifen

Jeden Monat über 60 Seiten Insights, Analysen, KnowHow

Streng limitiert

Kostenlose Ausgabe testen oder gratis Prämie sichern

BTC-ACADEMY