导读:希伯来大学教授AyeletMizrah和AvivZohar联合发表论文《
支付通道网络中的拥塞攻击》,这篇论文讨论了在构建去信任的多跳支付时,支付通道网络中出现的一个基本漏洞。这篇文章提出了两种攻击方式:第一种是长时间锁定尽可能多的高流动性通道,第二种是试图将单个节点与网络隔离,并对闪电网络承受这些攻击进行了评估。通过检查闪电网络的三个主要实现对网络的属性和不同参数的设置,这篇文章证明了闪电网络最近默认参数的更改会让攻击更易于发生。结果表明,通过使用不到0.5个比特币就可以锁定大部分闪电网络的流动性,这可能破坏闪电网络。
本文作者:希伯来大学教授AyeletMizrah和AvivZohar
在一篇新论文中,我们讨论了在支付通道网络中构建无需信任多跳支付过程中出现的一个基本漏洞。我们提出两种攻击方式:第一种旨在长时间锁定尽可能多的高流动性通道,第二种旨在将中枢与网络的其余部分隔离。在本文中,我们介绍了这些针对闪电网络的攻击的评估。我们将检查闪电网络的三个主要实现对网络的属性和不同参数的设置,并展示闪电开发人员同意的默认参数的最新更改如何使攻击更容易实施。我们的结果表明,通过使用不到0.5个比特币就锁定大部分闪电网络的流动性,这可以破坏闪电网络。
摩根大通:风险投资资金的缩减是加密市场可能会出现更长时间下滑的最新迹象:金色财经报道,摩根大通团队在一份报告中写道,数字资产行业风险投资资金的缩减是加密市场可能会出现更长时间下滑的最新迹象。这是一个令人担忧的发展,因为它表明风险投资基金不愿将资金部署到数字资产领域,这增加了加密市场当前疲软长期持续的可能性。
第三季度,对该行业的风险投资达到了一年多以来的最低点 44 亿美元。加密货币行业在收紧货币政策下萎靡不振,这损害了流动性,从而损害了对高风险资产的需求。
摩根大通团队表示,9 月和 10 月的加密风险投资疲软意味着 7 月和 8 月的下降并非像预期的那样纯粹是季节性的。一项顶级数字资产指数今年下跌了56%。自6月跌至低点以来,比特币一直陷于20,000美元左右的交易区间。[2022/11/4 12:17:22]
支付通道网络是解决区块链可扩展性问题的第二层链下解决方案。作为比特币二层网络的闪电网络目前拥有超过11,000个节点和35,000个通道,总容量约为880BTC。
我们探索的攻击的基本概念是可以追溯到2015年8月的Lightning-dev列表中的对应内容中提到的,以及2017年5月提到的BOLT中的一个git问题。从未对这种攻击的后果进行全面评估,其成本却非常低:攻击者只需不到0.5个比特币,就可以无限期地锁定网络的大部分通道。
数字艺术家Pak最新作品集Terminus竞拍结束,成交价创纪录达138.5ETH:区块链稀有艺术品交易市场MakersPlace宣布传奇数字艺术家Pak的最新作品集Terminus拍卖结束,此次拍卖由数字艺术品收藏者EricYoung和WhaleShark经过5个多小时的竞拍争夺,最终达到创纪录的成交价138.5ETH,约合5.3万美元。该作品集共包括5件作品,具有鲜明的形式、纹理和大胆的单色性。Pak是加密艺术领域中有名的数字艺术家之一,也是国际知名的Undream工作室和AI策展人Archillect的创始人和首席设计师,从事数字艺术创作已经超过25年,曾与数百个大品牌和工作室合作。自从今年2月其第一件作品CloudMonumentDark出售以来,Pak已通过数字作品赚取了30万美元。其中,最有价值的一件艺术品名为Alpha,在今年7月以55.555ETH的价格卖给了加密艺术博物馆,按当时价格约合15,370美元,现在已经超过21,000美元。[2020/9/21]
攻击:
为了使通道瘫痪,攻击者使用一套路径的源和目标打开通道,并通过该路径请求许多小额付款,从而耗尽了同时打开的HTLC的数量。攻击者既是付款的来源,又是目的地,并且可能严重延迟付款的最终执行时间。然后,攻击者可以再次重新运行攻击,并锁定同一路径额外的一段时间。
声音 | BM 在 RAM 电报群最新发言总结:据金色财经合作媒体IMEOS 报道,BM 在 RAM 电报群最新发言总结如下。
1.BM 表示:RAM 持有者在反对发展。试想一下购车者要求福特汽车在生产新车之前考虑其转售价值。持有 RAM 是在和他对。对他生气就像是购买了所有玉米的囤货者来抱怨他种植了一片新田养活大家。
2. 那么有人问:如果反对投机者,为什么一开始就要创造出煽动性或投机的市场?BM 回复:我赞成价格发现的投机,反对人为的稀缺。RAM 投机是试图预测真正的稀缺性,我只是其中一个变量。同时价值也不只是取决于稀缺,也会取决于需求。
3.对于有人在聊天中说:“Dan 是我们钟爱的领袖,却对 RAM 社区犯下叛国罪”。BM 回敬了一句:“Intel 是我们钟爱的芯片制造商,却因为承诺增加产量而犯了叛国罪”[2018/7/9]
攻击者创建了两条长途路线用于瘫痪通道
新西兰经纪公司Fullerton Markets将允许客户以比特币作为最新的融资方式: 据financemagnates报道,新西兰金融经纪公司Fullerton Markets允许客户使用比特币作为资金提供手段。该公司近几个月收到了大量的要求,要求将比特币作为存款方式,为客户提供一种替代法定货币的融资方式。Fullerton首席执行官马里奥·辛格(Mario Singh)比特币融资方案的推出发表了评论:“在过去的几个月中,我们收到了大量的请求,要求整合一个接受比特币的支付处理器。有趣的是,尽管比特币在过去一个月内下跌了50%以上,但这些要求并没有下降。”[2018/2/6]
我们研究了闪电协议的主要实现。这是它们用于相关参数的默认值。如今,网络上的大多数节点实际上都是LND节点。
默认参数
下图说明了如何沿着路径执行单笔付款:
阿尔罗萨将开发最新的钻石供应链 用区块链技术追踪钻石来源:派波特这家矿商告诉Rapaport新闻,阿尔罗萨正考虑将区块链或其他技术理念应用于粗糙和抛光的石头上,以应对冲突钻石和未公开的合成材料的挑战。俄罗斯公司发言人上周在一封电子邮件中表示:“如果行业设法建立一个跟踪系统,它将解决目前面临的一些问题和挑战。”阿尔罗萨目前正在研究与数字分类账相关的选项,并在俄罗斯市场上迈出了第一步,提供了一份纸质证书,该证书包含一个独特的身份号码,该号码追溯了在其抛光部门制造的每一块石头的来源。该文件包括公司开采粗石的地点和时间的信息。[2017/12/26]
路由建立和HTLC消除的过程
我们评估了在整个闪电网络上大规模运行此操作的后果。
攻击整个网络:
当使用一种贪婪算法以选择路线并使尽可能多的流动性瘫痪时,我们得到以下结果。下图显示了我们设法瘫痪的闪电网络当前锁定的总容量的一部分。
在不同的时间段内可以非常有效地锁定网络:
攻击的总成本很低。成本由两个主要因素组成:开通通道的成本和提供具有流动性的通道的成本。
我们的结果表明,攻击者可以使用少于0.25BTC的数量使闪电网络中650BTC的流动性瘫痪3天。
攻击中枢:
为了延长单个节点与网络的连接时间,攻击者将连接到受害节点并使它的相邻通道瘫痪。为此,它会通过受害人的通道来回路径发出多次付款请求。
以下是一些重要节点,攻击它们的成本为:
该表中的最后一个条目涉及对属于LNBIG的所有25个节点的隔离攻击,这些节点持有闪电网络中所有流动性的47.3%。
如果要攻击较小的节点,代价通常与它们的级别成正比:
我们注意到该漏洞相对难以修复,因为它涉及到链下支付网络的三个基本属性:
1.支付是以一种无需信任的方式执行的,使用了有条件的支付合约,这些合约在各方之间交换,并且仅在发生争议时才发送到区块链。这些合约的规模随着更多的有条件付款待处理而增长,因此,待处理付款的总数受到可放置在区块链上的交易规模的限制。
2.到期时间长。为了允许节点在恶意伙伴关闭作为待付款项一部分的通道时收回其资金,已设置HTLC到期时间以允许节点有足够的时间对这种关闭提出上诉。在比特币的闪电网络中,由于其脚本语言的表达能力较低,HTLC的到期时间会在路径的整个长度上累积,直至达到2016个的区块——通常需要两个星期的时间。
3.付款的隐私。付款通道网络使用洋葱路由,该路由不允许路径上的中间节点识别付款的来源和付款地点,从而使攻击者可以不受惩罚地采取行动。
缓解技术
实际上,对默认值的最新更改实际上使我们的攻击更容易实施:LND将其cltv_expiry_delta默认值从144个区块更改为40个区块,这允许在每个路径中链接更多节点而不会达到locktime_max限制。此外,Lightning开发人员在2018年阿德莱德会议上商定了2016的最大锁定时间以设置BOLT1??.1规范。这是在某些实现中使用的先前值的增加。同样,这允许更长的路由和更长的到期延迟,这使攻击更具破坏性,更易于执行。
强制执行快速HTLC解析。虽然HTLC的到期时间可以使节点保持安全并提供足够的时间将事务发布到网络,但我们建议添加另一种超时机制。具体来说,如果HTLC机密没有从一个相邻节点足够快地传播,则与该节点的通道应关闭。这种机制是一种将行为异常的对等方与网络断开连接的方式,以防止它们免费重复多次攻击。
减小路线长度。我们建议降低最大允许路由长度。网络图是高度连接的,并且跳数仍然应该足够:网络中节点之间的路径平均少于3跳,并且网络直径约为6。
根据信任级别和循环回避设置最大并发支付数是另外两种可以稍微缓解攻击的方法。
为了确保网络安全,必须进行进一步的工作。由于攻击依赖于支付通道中的基本机制,因此需要更多考虑。
有关更多信息,请参见全文。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。