闪电网络漏洞可能导致比特币被盗

潜在的攻击使比特币闪电网络（LN）用户资金面临风险耶路撒冷希伯来大学的乔纳·哈里斯（Jona Harris）和阿维夫·佐哈（Aviv Zohar）发表的一项研究表明，利用支付渠道网络中的漏洞。 这样的攻击将利用比特币网络的拥塞来防止强制关闭渠道并窃取已承诺的资金。

这项名为“洪水与抢劫：对闪电网络的系统攻击”的调查于6月15日在美国康奈尔大学的服务器上发布。

该报告可通过Medium通过Web版本获得，该报告指出，攻击将利用时间锁定合同（HTLC）哈希。 这些HTLC用于通过多个Lightning网络渠道转发付款，并确保这些中间渠道不会占用资金。

保证是投资组合之一声称资金“在区块链上但仅在有限的时间内发布交易”的可能性。 研究人员发现的漏洞是此期限的一部分，以比特币链的块为单位。 在某些情况下，例如lnd客户的限制，该限制仅为10个块。

根据该文本， ”让无辜的闪电节点充斥区块链相对容易并利用这个时间限制来窃取资金。” 也就是说，一旦截止日期到期，攻击者便可以利用网络拥塞并利用受攻击渠道的资金来发行自己的具有高处理费的渠道关闭交易。

袭击背后的可能性

该报告指出，围绕LN的重要假设是相信“如果参与者面对恶意或无响应的同行，他们将能够在区块链上发布交易”。 这种攻击恰恰与该原则相违背，该原则基于避免那些旨在确保渠道资金的交易。

“许多旨在确保参与者资金安全的交易将不会立即在区块链上得到支持，从而使攻击者能够窃取资金?

耶路撒冷希伯来大学的研究员Jona Harris和Aviv Zohar

研究人员描述的攻击程度将取决于“攻击者选择攻击的闪电实施的组合”。 但是，在该研究描述的实验中，得出的结论是：“同时受到攻击的85个通道足以保证攻击者可以摆脱它。” 也就是说，这些渠道足以保证您需要一些资金。

进攻分为四个阶段

调查人员模拟的攻击分为四个部分。 首先，假定攻击者控制两个节点，即源和目标。 第一个节点打开了与潜在受害者的通道，并用自己的资金配置他们的资金，使其具有很强的吸引力，可以在被攻击的节点上使用。 然后，该源节点“开始进行大量发往目标节点的HTLC付款”，通过新打开的通道进行路由。

攻击者选择了多个可能的受害者。 资料来源：乔纳·哈里斯（Jona Harris）和阿维夫·佐哈（Aviv Zohar）。

攻击者以使用可以窃取的最大资金的方式为每笔HTLC付款选择金额。 这是通过在通过该通道路由的所有HTLC上平均分配最大可转让金额（不包括费用）来完成的?

耶路撒冷希伯来大学研究员Jona Harris和Aviv Zohar

在下一阶段，接收节点“通过返回必要的秘密来解决所有付款并为自己索取这些资金”，同时关闭多个渠道。

最后，每个被攻击的信道都被未解决的HTLC“淹没”。 到那时，受害者只有有限的时间来要求他们的资金。 期限届满后，攻击者可以自己为那些被攻击的渠道索取资金。

调查表明，受害人可以在截止日期之后索取资金。 但是，该受害人将无法定义其交易费用。 这将与打开渠道时设定的佣金挂钩。 研究人员补充说：“由于闪电协议允许攻击者提高自身交易的速度，我们的攻击变得更加容易。”

攻击者可以根据自己的意愿为自己的交易设置费率，并使用“替代佣金”（RBF）策略替换到期后未确认的受害者交易。

添加报告。

缓解漏洞的可能方法

哈里斯和佐哈尔的报告揭露了可能的缓解案例清单其中包括6个选项。

第一个是减少每个通道上未解决的HTLC的最大数量。 这将迫使最终的攻击者找到更多受害者来窃取相同数量的资金。 研究人员补充说，但是非常低的最小值会使网络上的许多信道拥塞，从而使拒绝服务攻击变得更加容易。

文本显示，另一种选择是在“遇到不良行为时”更早地关闭频道。 如果一个节点有许多其他方无法解决的未决HTLC，则攻击的可能性很高。 因此，研究人员建议“应尽早关闭运河，以免造成资金损失”。

潜在的攻击者会在截止期限之后使用HTLC关闭渠道，以获取资金。 资料来源：乔纳·哈里斯（Jona Harris）和阿维夫·佐哈（Aviv Zohar）。

该报告还提出了可能的解决方案，即无需等待链中的确认即可发布渠道关闭交易，应用必要的信誉值与其他渠道进行交互，实施名为“锚定出口”的提案或使HTLC不可替代。 最后一种机制很微妙。 该研究解释说，应该谨慎进行以“不破坏撤销机制”。

最后，哈里斯（Harris）和佐哈尔（Zohar）排除了“可能会想到（但不建议）”的可能解决方案。 研究人员认为不可行的选择是简化传入的HTLC。 他认为，此选项为其他形式的攻击提供了可能性。

通道拥塞是比特币闪电网络中的一个漏洞

尽管仍在测试中，但比特币的闪电网络经常遭受各种漏洞的攻击。 它们之间，先前已经研究过信道拥塞。 4月下旬，CriptoNoticias报道了一种利用RBF利用HTLC盗窃资金的方式。

此前，与本报告共同撰写的Zohar本人和Ayelet Mizrahi曾确定LN易受付款渠道拥塞的攻击。 根据他们在3月份发布的报告，该报告的BTC不到1个，攻击者可能会堵塞另一个支付渠道网络Lightning或Raiden网络，以便从用户那里窃取资金。

—-

原文链接：https://www.criptonoticias.com/seguridad-bitcoin/vulnerabilidad-red-lightning-podria-llevar-robo-bitcoins/

原文作者：globalcryptopress

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。