Crescita

LND, LDK e Bitcoin Core: Optech #411 Svela Vulnerabilità DoS e Aggiornamenti Critici

Trevis
27 Giu 2026 8 min lettura
Pixar 3D scene crescita - BitcoinLive24

Il Lightning Network sotto Esame: la Divulgazione della Vulnerabilità LND

La settimana del 26 giugno 2026 ha portato una notizia che ogni operatore di nodi Lightning avrebbe dovuto leggere con attenzione. Bitcoin Optech — la principale newsletter tecnica dedicata allo sviluppo del protocollo Bitcoin — ha pubblicato la newsletter #411, dedicando ampio spazio alla divulgazione responsabile di una vulnerabilità di tipo DoS (Denial of Service, ovvero un attacco che può rendere inaccessibile un servizio) che colpiva le versioni precedenti di LND, il client Lightning più diffuso nell’ecosistema.

Nishant Bansal, ricercatore di sicurezza, ha scoperto il problema attraverso il fuzzing della macchina a stati — una tecnica automatizzata che testa il software inviando dati inattesi o malformati — e ha seguito un percorso di divulgazione responsabile prima di rendere pubblica la vulnerabilità. Il bug è stato confermato in modo indipendente da Matt Morehouse e risolto in LND 0.20.1-beta.

Come Funzionava il Bug Zero-Timestamp di LND

La vulnerabilità sfruttava un comportamento anomalo nel modo in cui le versioni di LND precedenti alla v0.20.1-beta gestivano i messaggi di gossip (i messaggi con cui i nodi Lightning condividono informazioni sulla rete) con timestamp uguale a zero. Secondo lo standard BOLT7, i messaggi channel_update devono avere un timestamp maggiore di zero — ma il protocollo non specifica come i nodi debbano comportarsi in caso di violazione di questa regola.

LND gestiva male questo caso limite: quando riceveva un messaggio gossip con timestamp zero, si verificava un errore interno di bookkeeping che lasciava una struttura dati in uno stato non valido. Il risultato era un runtime panic — il processo si bloccava e il nodo Lightning si spegneva improvvisamente.

📱 Ricevi tutte le notizie Bitcoin direttamente sul tuo iPhone

Scarica BitcoinLive24 Gratis

Un attaccante poteva innescare questo crash in due modi distinti:

  • Trasmettendo annunci per un canale pubblico reale di sua proprietà con timestamp zero
  • Creando un canale sintetico finanziando un output 2-di-2 multisig — un metodo più economico che non richiede nemmeno di gestire un nodo Lightning attivo

Il fix introdotto in LND 0.20.1-beta risolve il problema alla radice: i messaggi gossip con timestamp zero vengono ora rifiutati in fase di parsing, prima che raggiungano il codice vulnerabile.

I Numeri del Bug: Chi Era a Rischio

ParametroDettaglio
Versioni vulnerabiliLND precedenti a v0.20.1-beta
Tipo di vulnerabilitàDoS — runtime panic — nodo inaccessibile
Vettore di attaccoMessaggio gossip channel_update con timestamp=0
Costo dell’attaccoBasso: canale sintetico 2-di-2 senza nodo attivo
Versione correttaLND v0.20.1-beta
DivulgazioneResponsabile — riportata prima della pubblicazione

Per gli operatori che gestiscono nodi Lightning per servizi di pagamento, exchange o wallet non custodial, aggiornare immediatamente a LND 0.20.1-beta rimane la priorità assoluta.

LDK Riceve Due Aggiornamenti di Sicurezza Critici

Nella stessa edizione di Optech #411, il Lightning Development Kit (LDK) — la libreria open source per costruire wallet e applicazioni Lightning-enabled — ha rilasciato due versioni di manutenzione in parallelo, entrambe con correzioni di sicurezza significative.

LDK v0.1.10 e LDK v0.2.3 affrontano problemi che includono:

  • Vulnerabilità DoS multiple
  • Errori di calcolo delle riserve per i canali anchor (una tipologia di canale che migliora la gestione delle commissioni on-chain in situazioni di congestione)
  • Problemi di sanitizzazione dei dati in ingresso
  • Bug nella sincronizzazione con Electrum e nella gestione dei messaggi onion
  • Problemi con le offerte BOLT12 e i pagamenti MPP keysend

Per i developer che integrano LDK nei propri prodotti, la raccomandazione di Bitcoin Optech è chiara: aggiornare alla versione corrispondente al proprio branch di sviluppo prima di qualsiasi deploy in produzione.

BTCPay Server 2.4.0: Non Solo Sicurezza

L’aggiornamento più ricco di funzionalità della settimana riguarda BTCPay Server 2.4.0, il processore di pagamento self-hosted open source usato da migliaia di merchant in tutto il mondo per accettare Bitcoin senza intermediari. Questa versione introduce:

  • Ricerca globale all’interno della dashboard
  • Autenticazione con passkey (standard FIDO2, elimina la password tradizionale)
  • Configurazione guidata del wallet multisig
  • Permessi wallet più granulari
  • Miglioramenti al sistema di abbonamenti e al point-of-sale
  • Ricerca e filtraggio avanzato delle transazioni
  • Supporto Lightning aggiornato

La versione rimuove anche alcuni backend Lightning deprecati, razionalizzando l’architettura. Per i merchant italiani che accettano Bitcoin, BTCPay Server rimane una delle soluzioni più mature del settore: la versione 2.4.0 è disponibile per l’aggiornamento immediato.

Bitcoin Core: Addio a libevent, Meno Dipendenze Esterne

La sezione Notable Changes della newsletter evidenzia due pull request significative per Bitcoin Core: la #35182 e la #34411. Insieme, queste modifiche sostituiscono il server HTTP basato su libevent — la libreria esterna che gestiva le richieste RPC e REST del nodo — con una implementazione completamente mantenuta internamente dal progetto.

Il nuovo server HTTP di Bitcoin Core esegue il proprio thread I/O dedicato, gestisce le socket direttamente senza dipendere da librerie esterne, e smista le richieste accettate al pool di worker HTTP esistente. Questa scelta riflette una strategia deliberata di riduzione delle dipendenze esterne, che semplifica la compilazione di Bitcoin Core su diverse piattaforme e riduce la superficie di attacco potenziale.

Un secondo fix (Bitcoin Core #35070) risolve un raro bug di duplicazione nella struttura m_blocks_unlinked: in scenari di riorganizzazione profonda su nodi pruned, questa struttura poteva accumulare voci duplicate che, in condizioni particolari, avrebbero potuto causare comportamenti non definiti nell’ordinamento dei candidati alla catena attiva.

BIP110: Agosto 2026 si Avvicina

La sezione Q&A della newsletter tocca anche BIP110, una proposta di miglioramento la cui attivazione è prevista per agosto 2026. Le risposte di Antoine Poinsot e Pieter Wuille chiariscono aspetti tecnici cruciali per miner e operatori di nodi.

Bitcoin Core attualmente non applica le regole BIP110 e non offre strumenti per costruire template di blocchi conformi: chi voglia minare blocchi BIP110-compliant deve usare software esterno o produrre blocchi vuoti. Una catena minoritaria BIP110 rimane valida ma non diventa la catena attiva senza accumulare più proof of work della catena principale.

Per la redazione di BitcoinLive24, questi chiarimenti sono rilevanti per chiunque gestisca infrastruttura Bitcoin: agosto 2026 non è lontano, e la finestra per testare e aggiornare i sistemi si sta restringendo. Chi volesse approfondire il contesto del Lightning Network può leggere anche il nostro articolo sull’adozione di Stratum V2 da parte di DMND e GoMining.

Cosa Significa per gli Operatori di Nodi Bitcoin

La newsletter Optech #411 dipinge un ecosistema Bitcoin attivamente manutenuto e in costante miglioramento della sicurezza. Tre priorità concrete per chi gestisce infrastruttura:

  1. Aggiornare LND a v0.20.1-beta è non negoziabile per chi opera nodi Lightning in produzione. Il bug zero-timestamp era exploitabile a basso costo da chiunque avesse un minimo di competenza tecnica.
  2. LDK v0.1.10 / v0.2.3 correggono vulnerabilità DoS multiple: gli sviluppatori che integrano la libreria devono pianificare l’aggiornamento nel prossimo ciclo di rilascio.
  3. BTCPay Server 2.4.0 porta novità significative per i merchant — l’autenticazione passkey e il multisig guidato abbassano la barriera di accesso alla self-custody anche per utenti meno tecnici.

L’infrastruttura Bitcoin cresce in modo costante e coordinato. Il processo di divulgazione responsabile seguito per la vulnerabilità LND dimostra come la comunità open source gestisca i problemi di sicurezza con serietà — un segnale di maturità per una rete che processa miliardi di dollari di valore. Per ricevere aggiornamenti istantanei sulle novità dell’ecosistema Bitcoin, scarica l’app BitcoinLive24 e attiva le notifiche push. Consulta anche il nostro articolo su Matt Corallo e l’uscita da GitHub di Rust-Lightning per il contesto più ampio sullo sviluppo del protocollo.

Conclusione

La newsletter #411 di Bitcoin Optech — fonte tecnica di riferimento per l’ecosistema Bitcoin — ha segnalato una settimana densa di aggiornamenti critici. LND 0.20.1-beta chiude una vulnerabilità DoS reale e facilmente sfruttabile; LDK risolve problemi di sicurezza in due branch paralleli; BTCPay Server 2.4.0 migliora l’esperienza dei merchant; Bitcoin Core riduce le proprie dipendenze esterne avvicinandosi a un’architettura più robusta. Aggiornare l’infrastruttura Lightning è la prima azione concreta che ogni operatore di nodo dovrebbe compiere questa settimana.

Domande Frequenti

Cos’è la vulnerabilità DoS di LND segnalata da Bitcoin Optech #411?

Le versioni di LND precedenti alla v0.20.1-beta potevano essere mandate in crash inviando un messaggio gossip con timestamp uguale a zero, causando un runtime panic che terminava il nodo Lightning. Il fix è disponibile in LND v0.20.1-beta.

Devo aggiornare subito LND?

Sì, se gestisci un nodo Lightning in produzione con una versione di LND precedente alla v0.20.1-beta. La vulnerabilità era exploitabile a basso costo: un attaccante poteva innescare il crash anche senza gestire un nodo Lightning attivo, creando un canale sintetico 2-di-2 multisig.

Cos’è BTCPay Server e perché è rilevante per i merchant italiani?

BTCPay Server è un processore di pagamento self-hosted open source che permette ai merchant di accettare Bitcoin senza intermediari. La versione 2.4.0 aggiunge autenticazione passkey e setup multisig guidato, abbassando la barriera tecnica per le imprese italiane che vogliono accettare pagamenti in Bitcoin.

Cos’è BIP110 e quando entra in vigore?

BIP110 è una proposta di miglioramento del protocollo Bitcoin la cui attivazione è prevista per agosto 2026. Bitcoin Core attualmente non applica le sue regole: i miner che vogliono produrre blocchi BIP110-compliant devono usare software esterno per la costruzione dei template di blocchi.

Cos’è Bitcoin Optech e perché è importante?

Bitcoin Optech è una newsletter tecnica settimanale che monitora gli sviluppi del codice Bitcoin, dai cambiamenti in Bitcoin Core ai miglioramenti del Lightning Network. È considerata la fonte più autorevole per sviluppatori, miner e operatori di infrastruttura che vogliono restare aggiornati sulle modifiche al protocollo.

Articolo basato su Bitcoin Optech Newsletter #411 (26 giugno 2026). Non costituisce consulenza finanziaria.

Trevis

Autore di BitcoinLive24

Articoli Correlati

Lascia un commento

BitcoinLive24
Powered by  GDPR Cookie Compliance
Panoramica privacy

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.