一份新的網絡安全報告警告説,如果用户不小心,精明的攻擊者可能可以通過閃電網絡從他人“掠奪” 比特幣。
耶路撒冷希伯來大學的計算機科學家喬納·哈里斯(Jona Harris)和阿維夫·佐哈(Aviv Zohar)仔細研究了可能導致資金損失的“系統性”閃電網絡攻擊。他們在新論文《洪水與戰利品:對閃電網絡的系統攻擊》中描述了這種攻擊,它攻擊比特幣區塊鏈擁塞。
比特幣區塊鏈的問題在於,支付速度很慢,並且每秒僅支持少量交易。閃電網絡是第二層解決方案,可通過從比特幣區塊鏈中提取付款來幫助解決這一巨大問題。
但是閃電仍然與比特幣區塊鏈聯繫在一起。該攻擊利用了連接,並試圖利用比特幣的上述限制。
開發人員早就知道這種攻擊媒介。但是在哈里斯(Harris)和佐哈爾(Zohar)發表報告之前,沒有人進行過深入的分析來詳細衡量這種攻擊的可行性。這些研究人員發現,攻擊並不難,對於攻擊者來説可能是有利可圖的。
哈里斯在一篇解釋攻擊機制的文章中寫道:“由此產生的大量交易在區塊鏈中將無法適當解決所有債務,並且攻擊者可能會偷走一些資金而逃脱。”
哈里斯(Harris)警告用户不要嘗試這種攻擊,因為這種攻擊“可以使無辜用户竊取資金。不要在家嘗試做這個。”
攻擊依賴於閃電網絡的幾個組件。
閃電網絡的重點是保持資金“脱鏈”,即“關閉”比特幣區塊鏈。這樣,人們可以儘可能少地使用比特幣稀缺的區塊空間來支付比特幣。比特幣每秒總共只能處理幾筆交易,這不是很多。
就是説,如果出了問題,用户始終可以將其閃電交易踢回比特幣區塊鏈。
首先,當底層區塊鏈的使用量很少時,Lightning的效果最佳。如果在攻擊的“洪災”部分立即關閉了一系列閃電通道,就會出現問題:底層的比特幣網絡無法處理該數量,從而導致問題。
其次,每筆交易中都有一個到期日,用户可以通過該到期日將其比特幣發送回區塊鏈,而無需他人竊取。
閃電網絡由數千個節點組成。類似於互聯網在幕後的工作方式,付款需要先經過幾個節點,然後才能到達目的地。 閃電使用受密碼術保護的“哈希時間鎖定合同”(HTLC),以便用户不必將這些錢與這些完全陌生的人信任。HTLC已經制定了規則,例如要求瞭解“秘密”才能獲得內部的比特幣,而這些中介陌生人都不知道。
但是研究人員正在探索一種對系統進行遊戲的方法。簡而言之,HTLC在每筆付款中都規定了最後期限,如果出現問題,用户可以有機會在比特幣區塊鏈上“結算”資金。在此截止日期過後,HTLC即將爭奪。結果,惡意用户可以竊取合同中持有的資金。
“戰利品”您也許能夠看到前進的方向。攻擊者利用了區塊鏈擁塞的優勢,並利用HTLC截止時間對其進行配對。
攻擊依賴於將比特幣區塊鏈充滿交易,以至於再也無法通過。攻擊者希望他或她可以將合同推遲到內置的期限內。如果成功,攻擊者可以開始“搶劫”過期的合同。
哈里斯在博客文章中解釋説:“通過攻擊許多渠道並強迫它們同時關閉[…],將無法及時確認某些受害者的HTLC索賠交易,攻擊者將竊取它們。” 。
“通過攻擊許多渠道並強迫他們同時關閉所有渠道,將無法及時確認某些受害者的HTLC索賠交易,攻擊者將竊取它們。”研究人員在帶有虛擬硬幣的測試閃電網絡上進行了仿真,以測試這種攻擊的可行性。
簡而言之,每個封閉渠道都會導致另一筆交易被推送到比特幣區塊鏈。攻擊者將嘗試同時關閉儘可能多的通道,以增加發送到區塊鏈的交易數量,從而增加成功的機會。
研究人員使用他們的模擬發現,一次攻擊85個通道足以“保證成功攻擊”。
哈里斯指出,針對100個頻道的攻擊者將獲得“至少” 7402 HTLC的獎勵,而今天的HTLC平均持有價值約138美元的比特幣。這可能意味着發薪日約為1,021,476美元。
他們還發現,正如預期的那樣,更少的塊空間會導致更高的攻擊成功率,因為HTLC在截止日期之前不太可能通過。
尋找“潛在受害者”也非常容易。在模擬中,研究人員發現與其他用户建立頻道並不難。實際上,有95%的閃電節點接受了他們的邀請以建立一個閃電頻道。
修復儘管如此,這項研究仍可以看作是改善支付系統的更廣泛努力的一部分,並且希望能夠使更多用户更安全。通過這種方式,比特幣制造者喜歡將比特幣描述為“抗脆弱性” –系統故障越多,遭受攻擊的可能性就越大,它就越強大。
研究人員認為,這種攻擊是系統性的,“完全消除風險似乎是一項複雜的任務。”
也就是説,哈里斯提出了一些解決問題的策略,或者,如果不能完全解決問題,至少可以改善它。一種是增加HTLC截止日期,以便用户更輕鬆地通過比特幣區塊鏈及時對抗攻擊者。
閃電網絡的守望台Teos開發人員Sergi Delgado告訴CoinDesk,所謂的“錨輸出”(一種正在進行的升級)也可能使攻擊更加困難。
錨輸出將允許用户提高交易費用,以使交易更快地進入比特幣區塊鏈。此步驟將使攻擊者更加難以阻止將反交易發送到區塊鏈。
德爾加多説:“錨的當前簡單版本並不能解決它,但更成熟的版本應該可以解決。”
閃電網絡可以通過加快比特幣的使用速度以及將比特幣作為一個整體進行擴展,從而顯着改善比特幣的支付方式,從而使更多的人可以一次使用數字貨幣。但是許多人認為網絡還沒有做好準備。隨着網絡的發展,研究人員正在探索這樣的問題,希望有一天能夠解決。
通過這些以及其他潛在的改進,Harris認為有希望。但這需要一些工作。“我相信閃電網絡將繼續存在,但是在[閃電]成為主流之前,為了將此類威脅的可能性降至最低,當然需要做更多的工作。哈里斯説:“社區對此正在進行討論,我相信我們走在正確的道路上。”
合縱財經裏面的“合縱漲跌指標”是初學技術分析投資者的福音,綜合了各個指標的優劣勢,根據多年量化實驗融合了不同權重的基礎指標參數形成的綜合技術指標,具有基礎指標所不具備的共振效果,整體敏感度高,信號成功率更高。
針對不同交易產品,涵蓋全球股票、數字貨幣、外匯,股指期貨等提供實時分析建議,劃分強烈賣出、賣出、中立、買入及強烈買入5個不同等級,更加明確操作,非常適合新手散户交易。
作者:合縱財經;來自鏈得得內容開放平台“得得號”,本文僅代表作者觀點,不代表鏈得得官方立場凡“得得號”文章,原創性和內容的真實性由投稿人保證,如果稿件因抄襲、作假等行為導致的法律後果,由投稿人本人負責得得號平台發佈文章,如有侵權、違規及其他不當言論內容,請廣大讀者監督,一經證實,平台會立即下線。如遇文章內容問題,請發送至郵箱:[email protected]