Ερευνητές του Πανεπιστημίου του Ιλινόις ανακάλυψαν μια ευπάθεια στο πιο δημοφιλές πρωτόκολλο κλιμάκωσης δεύτερου επιπέδου του Bitcoin, το Lightning Network. Ο Cosimo Sguanci και ο Αναστάσιος Σιδηρόπουλος εξέδωσαν ακαδημαϊκό χαρτί περιγράφοντας μια υποθετική επίθεση που βασίζεται σε μια συμπαιγνία τελεστών κόμβων. Τη στιγμή της δημοσίευσης, υπολόγισαν ότι ένας συνασπισμός 30 κόμβων θα μπορούσε να κλέψει 750 bitcoin (17 εκατομμύρια δολάρια).
Για μια βασική εξήγηση του Lightning Network, διαβάστε την εισαγωγή του Protos hπριν.
Οι ερευνητές εξηγούν πώς μια κακόβουλη ομάδα θα μπορούσε να ελέγξει έναν ορισμένο αριθμό κόμβων και να καταστήσει τα κανάλια που δεν ανταποκρίνονται σε μια λεγόμενη επίθεση ζόμπι.
- Μια επίθεση ζόμπι συμβαίνει όταν ένα σύνολο κόμβων δεν ανταποκρίνεται, κλειδώνοντας χρήματα σε οποιοδήποτε κανάλι που συνδέεται με αυτούς τους κόμβους.
- Για να αμυνθούν από μια επίθεση ζόμπι, οι ειλικρινείς κόμβοι πρέπει να κλείσουν τα κανάλια τους και να βγουν από το Lightning Network. Αυτό απαιτεί υψηλές χρεώσεις συναλλαγών για να εγκατασταθούν στο βασικό επίπεδο blockchain του Bitcoin.
- Οι ερευνητές χαρακτήρισαν τις επιθέσεις με ζόμπι μια μορφή βανδαλισμού. Καθιστά τα κανάλια Lightning Network άχρηστα και συμφορεί τη ροή του Bitcoin.
Οι επιθέσεις ζόμπι έχουν κάποια κοινά στοιχεία επιθέσεις θλίψης, στο οποίο ένα δίκτυο ψηφιακών περιουσιακών στοιχείων γίνεται ανεπιθύμητο από συναλλαγές «ενόχλησης» ή μη έγκυρες προκλήσεις.
Όπως οι επιθέσεις θλίψης, οι επιθέσεις ζόμπι φαίνεται ότι δεν εξυπηρετούν άλλο σκοπό από το να αυξάνουν τα τέλη συναλλαγών και να απογοητεύουν τους αποστολείς νόμιμων συναλλαγών. Μπορούν επίσης να απογοητεύσουν τους ιδιοκτήτες νόμιμων κόμβων που χάνουν τα τέλη που κερδίζουν από την εξυπηρέτηση των συναλλαγών του Lightning Network.
Οι ερευνητές περιγράφουν μια άλλη ευπάθεια του Lightning Network
Οι ερευνητές περιέγραψαν επίσης έναν άλλο φορέα για την επίθεση στο Lightning Network του Bitcoin: μια συντονισμένη επίθεση διπλής δαπάνης.
Αυτή η επίθεση θα απαιτούσε επίσης συμπαιγνία μεταξύ πολλών δεκάδων μεγάλων κόμβων. Αυτή η επίθεση επιχειρεί να υπερφορτώσει την αλυσίδα μπλοκ βασικού επιπέδου του Bitcoin υποβάλλοντας μια πλημμύρα από δόλιες συναλλαγές κλεισίματος για μεγάλο αριθμό καναλιών του Δικτύου Lightning. Εάν οι επιτιθέμενοι πλήρωναν υψηλά τέλη και πηδούσαν μπροστά στην ουρά, μπορεί να μπορούσαν να διπλασιάσουν το bitcoin.
Για να αμυνθούν έναντι αυτής της μαζικής επίθεσης διπλής δαπάνης, οι ειλικρινείς κόμβοι θα έπρεπε να υποβάλουν τις λεγόμενες συναλλαγές δικαιοσύνης, αμφισβητώντας δόλια αιτήματα κλεισίματος καναλιών.
Με αυτόν τον τρόπο, οι εισβολείς θα συναγωνίζονταν με ειλικρινείς κόμβους για να πείσουν τους εξορύκτες Bitcoin να συμπεριλάβουν τις δόλιες συναλλαγές τους πριν από τις συναλλαγές δικαιοσύνης. Εάν οι ειλικρινείς κόμβοι δεν μπορούσαν να πληρώσουν τους εξορύκτες αρκετά ώστε να συμπεριλάβουν πρώτα τις συναλλαγές δικαιοσύνης τους, οι εισβολείς θα κέρδιζαν.
Οι σκοπιές είναι πολύ σημαντικές για την ασφάλεια του Lightning Network
Η επίθεση διπλής δαπάνης απαιτεί μια κακώς διατηρημένη διαμόρφωση του Lightning Network κάποιου παρατηρητήριο. Οι Σκοπιές καταγράφουν την κατάσταση του δημόσιας προβολής Lightning Network ανά πάσα στιγμή. Οι σκοπιές έχουν σχεδιαστεί για να αποθηκεύουν δεδομένα που χρησιμοποιούνται σε δικαστικές συναλλαγές για να αποδειχθεί ότι κάποιος είπε ψέματα ή υπέγραψε ένα δόλιο αίτημα κλεισίματος καναλιού.
The Lightning Network Daemon (LND) περιλαμβάνει ένα προαιρετικό ιδιωτική αλτρουιστική σκοπιά που οι χρήστες μπορούν να ρυθμίσουν με μη αυτόματο τρόπο. Αυτοί οι παρατηρητικοί πύργοι θα επιστρέψουν τα χρήματα του θύματος χωρίς επιπλέον περικοπή ⏤ εκτός από το τέλος συναλλαγής ⏤ εάν εντοπίσουν πιθανή επίθεση. Εργάζεται επίσης μια ομάδα ανάπτυξης του Lightning Network επιβράβευση παρατηρητηρίων που θα εισπράττει πρόσθετες αμοιβές για την εκτέλεση ακόμη περισσότερων καθηκόντων.
Οι ερευνητές μοντελοποίησαν την αποτελεσματικότητα μιας επίθεσης μαζικής εξόδου παρουσιάζοντας γραφικά την ιστορική συμφόρηση στο δίκτυο Bitcoin. Θεωρούσαν ότι μια επίθεση μαζικής εξόδου κατά τη διάρκεια μιας απότομης συμφόρησης που ξεκίνησε στις 7 Δεκεμβρίου 2017 θα είχε καταστροφικές επιπτώσεις στα θύματά της.
Διαβάστε περισσότερα: Εξήγηση: Γιατί οι χάκερ συνεχίζουν να εκμεταλλεύονται γέφυρες cross-blockchain
Οι ερευνητές επισημαίνουν προβλήματα, ενθαρρύνουν καλύτερες πρακτικές ασφάλειας
Συμπερασματικά, οι ερευνητές πιστεύουν ότι και τα δύο τρωτά σημεία του Lightning Network δεν έχουν επιλυθεί σήμερα. Όσον αφορά την προτεραιότητα, μια μαζική επίθεση διπλής δαπάνης είναι πιο πιθανό να είναι επικερδής από μια επίθεση ζόμπι.
Η ερευνητική εργασία προειδοποίησε ότι η σοβαρότητα μιας μαζικής επίθεσης διπλής δαπάνης θα κλιμακωθεί καθώς ωριμάζει το Lightning Network. Τα θύματα θα έχαναν περισσότερα κεφάλαια, τα κανάλια θα παρουσίαζαν μεγαλύτερες καθυστερήσεις και η φήμη του πρωτοκόλλου θα κινδύνευε.
Οι ερευνητές πρότειναν άμυνες όπως η αύξηση του to_safe_delay μεταβλητή στις διαμορφώσεις του παρατηρητηρίου, η οποία προσθέτει επιπλέον χρεώσεις για περισσότερη αναμονή εάν ένας χρήστης αποφασίσει να κλείσει ένα κανάλι χωρίς καμία απάντηση από τον αντισυμβαλλόμενό του.
Οι ερευνητές συνέστησαν επίσης την αναδιαμόρφωση των παρατηρητηρίων για την παρακολούθηση του χώρου αποθήκευσης του Bitcoin για αντίθετες συναλλαγές.
Το έγγραφο πρότεινε μια πιο λεπτομερή μελέτη των δύο τύπων επιθέσεων μαζικής εξόδου. Προς τιμή τους, οι ερευνητές του Πανεπιστημίου του Ιλινόις βρήκαν πράγματι μια ευπάθεια που δεν είχε εντοπιστεί στο παρελθόν στο Lightning Network του Bitcoin. Η έρευνά τους θα βοηθήσει στη βελτίωση του πρωτοκόλλου ανοιχτού κώδικα, χιλιάδες των τελεστών κόμβων, και εκατομμύρια χρηστών.
Για περισσότερα ενημερωμένα νέα, ακολουθήστε μας Twitter και ειδήσεις Google ή ακούστε το ερευνητικό μας podcast Καινοτομία: Blockchain City.
Πηγή: https://protos.com/researchers-discover-critical-bitcoin-lightning-network-vulnerability/