比特币技术周报丨费用超付攻击与硬件钱包兼容问题

写在前面：本周的比特币技术周报，主要关注的是影响硬件钱包的费用超付攻击（ Fee overpayment attack）问题，而Trezor、Ledger等硬件钱包因此升级固件后而引发兼容性问题，对于这些问题，开发者们提出了一些解决方案，但对于硬件钱包面临的两次花费攻击（spending twice attack）问题，目前依旧没有好的解决办法。此外，关于闪电网络通道的安全性，上周开发者还提出了通过日蚀攻击的方法来窃取通道资金，针对这一问题，研究者认为根本性的解决方案是提高主链对日蚀攻击的抵抗能力。而在最后，我们还会关注上周当中发生的比特币软件基础设施的一些重大更新。

(图片来自：tuchong.com)

一、费用超付攻击与硬件钱包的兼容问题

如果你的软件或流程允许你使用硬件钱包来花费隔离见证（segwit）输入，请检查你的系统是否与钱包的最新固件更新保持兼容。例如，Trezor的最新固件，要求升级与其连接的软件，以继续处理隔离见证（segwit）输入；Ledger的最新固件，将在处理从未更新软件接收到的隔离见证（segwit）输入时发出警告；其他的硬件钱包可能会在未来发布类似的更新；请与硬件钱包制造商联系，以获取相关计划的更多信息。有关此更改的原因，请看如下关于“费用超付攻击”的解释：

比特币交易支付的费用，是交易所花费的UTXO金额，与其创建的UTXO金额之间的差额。交易显式地说明了它们创建的UTXO数量，但它们花费的UTXO数量，只能通过查看创建这些UTXO的先前交易来找到。支出交易只承诺txid和它想要花费的UTXO的位置，这需要其他想要计算费用的软件来查找每个UTXO的先前交易，或维护一个已验证UTXO数据的数据库。

由于硬件钱包不维护UTXO集，因此它们确定使用遗留UTXO交易 所支付费用金额的唯一可靠方法，是获取每个遗留UTXO先前交易的副本，哈希前一笔交易以确保其txid与UTXO引用匹配，并使用现在已验证的UTXO金额执行费用计算。在最坏的情况下，遗留交易几乎可以大到1 MB，并且一笔花费交易可能引用数千笔以前的交易，因此金额验证可能需要资源受限的硬件钱包处理千兆字节的数据。

而BIP143 segwit v0 中所做的几个改进之一，是通过让签名commit它们所花费的UTXO数量来消除这个负担。这意味着，任何承诺金额不正确的签名，都将是无效的，包括Bitcoin Core和硬件钱包的开发者都认为，这将允许签名者安全地接受来自不受信任软件的金额。

不幸的是，事实证明签署单个UTXO的金额是不够的。 2017年，Greg Sanders描述了一种攻击，它可以诱骗用户大幅超额支付交易费用。首先，攻击者将控制与硬件钱包对接的桌面或移动软件，并等待用户启动付款。受破坏的软件会创建所请求交易的两种变体，每个变体都要花费相同的两个隔离见证UTXO，这些UTXO受用户连接的硬件钱包控制。在第一笔交易中，受损的软件低估了其中一个UTXO的花费。这将导致硬件钱包以相同的低估金额低估交易费用。在第二笔交易中，受损的软件低估了第二个UTXO的数量，这将导致硬件钱包也低估了第二笔交易的费用。

受损的软件将第一笔交易发送到硬件钱包。用户检查金额、接收者地址以及计算过的交易费用。用户授权签名，签名的交易返回到受损的软件。第一笔交易在BIP143下无效，因为它的一个签名提交了不正确的UTXO量。受损的软件随后声称，有一个小问题阻止了交易的广播，并告知用户他们需要重新签署交易，但软件不会重新发送第一笔交易，而是发送第二笔交易。根据硬件钱包显示的信息（金额、接收者和费用），这第二笔交易也是BIP143无效的，因为它的一个签名提交了错误的金额。然而，这两笔交易中的每一笔，也都有一个有效的签名，受损软件能够使用这两个有效的签名合成一笔有效的交易，从而超额支付其费用。

与Sander在2017年所描述的其它攻击类似，此攻击仅影响无状态签名者（例如硬件钱包），这些签名者依赖于外部系统来告知他们所控制的UTXO。而跟踪接收到的UTXO数量的网络钱包，不会签署不正确的UTXO数量，因此不会受到此类攻击的影响。当然，网络钱包也容易受到其他类型的攻击，这也是硬件钱包可为用户增强资产安全性的原因。

上周，Trezor 宣布 Saleem Rashid在三个月前重新发现了这个漏洞，作为回应，Trezor已更新了固件，但破坏了直接或通过HWI与Trezor设备连接的多个钱包的兼容性（请参阅HWI＃340）。如果钱包有以前交易的完整副本或能够获得这些副本，恢复兼容性应该只是更新钱包代码的问题。而在其他情况下，钱包可能无法存储以前支付钱包的交易的完整副本，这可能需要重新设计钱包以存储该数据，并且需要重新扫描过去的钱包交易的区块链。创建或更新部分签名比特币交易（PSBT）软件需要升级，以便将以前交易的完整副本包含到PSBT中。对于PSBT存储在大小受限制媒介的情况（例如二维码），数据大小增加的问题，可能需要放弃该协议，或切换到容量更大的媒介。

Ledger也做了类似的修改，但他们在文章中提到，他们仅在没有完整拷贝先前交易的情况下使用隔离见证UTXO时，才会显示警告。尽管要求以前的交易，可以最大限度地提高安全性以抵御该攻击，但也存在理由允许硬件钱包有选择地继续使用隔离见证（segwit）签名UTXO值，而不是破坏现有的软件并在传统类型的值验证上花费额外的资源。

这是Johnson Lau在2018年提出的解决方案，其公开草案已被纳入taproot的BIP341 规范中（请参阅第46期周报）。如果采用了taproot，那么对于像硬件钱包这样的无状态签名者来说，在不评估以前交易的情况下为 taproot UTXO签名应该会更安全。不幸的是，这仍然无法修复两次花费攻击，这是大多数硬件钱包的无状态设计所存在的一个问题，其阻止了它们在内部跟踪自己的交易历史。

二、针对闪电网络的时间膨胀攻击

Gleb Naumenko和Antoine Riard在比特币开发者邮件列表中发布了他们撰写的论文的摘要，其描述了如何通过日蚀攻击从闪电网络通道中窃取资金。这篇研究论文扩展了Riard在第77期周报中所描述的分析。简而言之，攻击者可以控制LN节点与比特币P2P网络的所有连接，并延迟向受害者转发新区块的通知。在受害者对区块链的看法，远远落后于公众的共识看法之后，攻击者会在过时的状态下关闭与受害者的通道，日蚀攻击用于防止受害者看到关闭的交易，直到争议期结束，而攻击者则将其非法收益提取到完全由其控制的地址。

这篇文章所描述的攻击方式，可以在两小时内从轻（SPV）LN客户端窃取用户的资金。由于当前只有很少的服务器和节点可以向轻量级（SPV）LN客户端提供数据，因此，攻击者可能很容易执行攻击。而对于全节点支持的LN节点而言，攻击需要花费更长的时间（几个小时即可），并且可能需要创建更多的sybil。作者指出，这些攻击还可能适用于其他对时间敏感的合约协议。而解决该问题的通用型方法，是提高主链对日蚀攻击的抵抗能力，其中一个具体的改进是允许节点选择使用其他传输协议。

论文地址：https://arxiv.org/abs/2006.01418

摘要文章：https://www.8btc.com/article/605757

三、比特币软件基础设施更新

感谢Pieter Wuille帮助我们研究关于费用超付攻击的历史，也感谢Antoine Riard提供有关时间膨胀攻击论文的更多信息。如果文章中有任何错误或遗漏，欢迎指正。

本文来源：巴比特
原文标题：比特币技术周报丨费用超付攻击与硬件钱包兼容问题

—-

编译者/作者：巴比特

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。