Разработчик раскрывает самый уязвимый вектор атаки в сети Lightning

[Alex077 16064]

     

Независимый разработчик Bitcoin Lightning Джуст Джагер описал уязвимость сети микроплатежей, которая может привести к компрометации каналов с очень небольшими усилиями и незначительными затратами.

Однако он сказал, что усиленно работает над возможным решением.

1 / Lightning - это здорово, но не могу сказать, что это проверено в боях. Если мошенники будут заинтересованы, они смогут отключить эти новые каналы #wumbo на 5 BTC с незначительными затратами и без каких-либо усилий. pic.twitter.com/9PTkxfF042

- Joost Jager (@joostjgr) 22 сентября 2020 г.

Ягер указывает, что атака может быть проведена по каналам вумбо, которые, по сути, позволяют совершать более крупные транзакции между взаимно согласованными сторонами в сети Lightning .

Канал вумбо снимает ограничение на общее количество биткойнов, которое может храниться в обычном канале Lightning, которое по сегодняшним ценам составляет около 1760 долларов. Он также удаляет прибл. ограничение в размере 450 долларов США на размер индивидуального платежа.

Джагер сказал, что вумбо-каналы могут быть использованы, потому что канал не может содержать более 483 хеш-кодов и контрактов временной блокировки (HTLC) в любое время, независимо от его емкости. Таким образом, злонамеренный субъект, отправляющий себе 483 микроплатежа и удерживая HTLC, достаточно, чтобы вывести канал из строя на срок до двух недель.

Разработчик продемонстрировал, что этого можно достичь, используя максимальную длину маршрута для добавления петель и дополнительных контрактов, чтобы быстро достичь этой суммы всего за небольшие начальные затраты, как в этом примере 5,8 миллиона сатоши.

Если мошеннику  повезло, ему нужно отправить всего 54 платежа, чтобы это сделать. Один крошечный канал выводит из бизнеса двузначные суммы биткойнов.

Он добавил, что для решения этой проблемы запустил новый проект межсетевого экрана для узлов Lightning под названием Circuit Breaker. Когда его спросили, является ли эта «атака» крупнейшим нераскрытым вектором атаки на LN сегодня, он добавил ;

Это зависит от того, как вы определяете величину потерь. Есть и другие атаки, которые могут заставить вас потерять деньги, что кажется еще хуже. Но это одна из самых серьезных проблем с точки зрения незнания, как ее решить.

С помощью каналов wumbo пользователь может сигнализировать о том, что он хочет отправить больше BTC, чем обычные лимиты, и найти узел, который желает получить. Обычные пользователи Lightning, отправляющие микроплатежи, не пострадают, и это гораздо лучший вариант для коммерческих и корпоративных платежей.

Каналы Wumbo становятся все более популярными, и Bitfinex был последним, кто объявил о их поддержке;

#Bitfinex обеспечивает поддержку канала Wumbo для своих #LightningNodes , что позволяет быстро и дешево вносить и снимать большие суммы # Bitcoin⚡

Узнайте обо всех возможностях, которые предоставляет вам интеграция с #LightningNetwork каналов Wumbo⬇️ https://t.co/ NR47JZY0y7 pic.twitter.com/5lCXJeXtkB

- Bitfinex (@bitfinex) 22 сентября 2020 г.

Слово «вумбо» происходит из мультсериала «Губка Боб Квадратные Штаны» и несет в себе идею, что две стороны должны договориться о «вумбо» вместе, чтобы транзакция состоялась.

Edited September 23, 2020 by Alex077

[Job Anderson 8190]

Мне кажется, что все это говорит о том, что мы только в начале пути. Криптовалюты уже в нашей жизни появились, а вот решения второго уровня только появляются и они очень далеки от совершенства.

На Lightning было очень много надежд, вот прошло уже много времени и мы видим по прежнему "сырую" технологию. Вчера читал интервью с Риккардо Спаньи. Он тоже задумывается о внедрении Lightning в Монеро. Но и он пишет, о множестве технических препятствий (которые еще нужно преодолеть) для использования технологии☺

Edited September 23, 2020 by Job Anderson

[Common man 12090]

23 hours ago, Job Anderson said:

Мне кажется, что все это говорит о том, что мы только в начале пути. Криптовалюты уже в нашей жизни появились, а вот решения второго уровня только появляются и они очень далеки от совершенства.

На Lightning было очень много надежд, вот прошло уже много времени и мы видим по прежнему "сырую" технологию. Вчера читал интервью с Риккардо Спаньи. Он тоже задумывается о внедрении Lightning в Монеро. Но и он пишет, о множестве технических препятствий (которые еще нужно преодолеть) для использования технологии☺

Решение где-то совсем рядом, мы ходим вокруг да около, подобно слепым котятам. Так мало времени прошло, развитие идёт своим ходом, будут ошибки, без этого никак. 

Очень мало уделяется внимания садчейнам, возможно не зря Сатоши "заикался" об этом... 

[Job Anderson 8190]

38 minutes ago, Common man said:

Решение где-то совсем рядом, мы ходим вокруг да около, подобно слепым котятам. Так мало времени прошло, развитие идёт своим ходом, будут ошибки, без этого никак. 

Очень мало уделяется внимания садчейнам, возможно не зря Сатоши "заикался" об этом... 

Риккардо Спаньи писал вроде того, что Лайтинг можно сделать, но в этой сети будут видны суммы, а это минус для приватности. Для Монеро такой подход недопустим. Значит надо думать дальше. А может вообще решение это атомарные свопы и лучше ими и ограничиться. Т.е. каждое новое добавление в систему ее усложняет и добавляет новые технические проблемы. Скорее всего ответ будет найден, но только когда?🌅

[Common man 12090]

7 minutes ago, Job Anderson said:

Риккардо Спаньи писал вроде того, что Лайтинг можно сделать, но в этой сети будут видны суммы, а это минус для приватности. Для Монеро такой подход недопустим. Значит надо думать дальше. А может вообще решение это атомарные свопы и лучше ими и ограничиться. Т.е. каждое новое добавление в систему ее усложняет и добавляет новые технические проблемы. Скорее всего ответ будет найден, но только когда?🌅

Да возможно он и прав.

Лайтинг ведь по большому счету и является отдельной веткой, слабое подобие садчейна, атомарный своп в полной мере так и не смогли пока ещё осуществить. Но, в этом направлении не так и давно работают, так что решение возможно уже и существует, но пока не время его афишировать.... 

[Job Anderson 8190]

1 hour ago, Common man said:

Да возможно он и прав.

Лайтинг ведь по большому счету и является отдельной веткой, слабое подобие садчейна, атомарный своп в полной мере так и не смогли пока ещё осуществить. Но, в этом направлении не так и давно работают, так что решение возможно уже и существует, но пока не время его афишировать.... 

По атомарному свопу наибольших успехов достиг проект Комодо. Мне правда не удалось осуществить атомарный своп их тестовых придуманных монеток, но ребята меняли эфириум на биток. Вполне удачно☺

[Grand 17332]

Невыгодно ещё ноду лайтнинга держать, по сути держится всё на энтузиастах, а на одном энтузиазме далеко не уедешь, нужна устойчивая сеть, а для этого нужен интерес. Майнерам выгодно майнить биткоин, а когда не выгодно они просто начинают отключать оборудование, как это было в конце 2018. 

[Yrasik665 76]

в последнее время слишком много атак развелось в крипто сети, надо разработчикам подробнее работать над защитой своих проектов

[mybuksy 4367]

Интересная технология, но вместе с тем, как оказалось, она проявила уязвимость. Хорошо уже то, что ее удалось распознать на ранних стадиях. Главное то, чтоб не появились скрытые доселе угрозы технологии

[Troyan888 51]

Вот зачем разработчикам писать об уязвимости которую ещё до момента публикации не устранили?В чём смысл?Чтобы потом после устранения сказать "мы устранили то-то" и что бы люди видели это?Или же чтобы с себя снять обвинения на момент пока они работают над проблемой по принципу "мы же предупреждали,и раз вы пользовались зная об уязвимости,то сами виноваты"

Если кто знает принцип,каким руководствуются разработчики, публикуя уязвимость пока её не устранили, объясните мне пожалуйста.

[Nikita Izotov 11434]

On 23.05.2021 at 13:30, andreev92 said:

Сейчас у майнеров добавилось проблем еще и в связи с кипешем вокруг экологичности майнинга,если китайским майнерам запретят добывать биток им придется искать новую страну для майнинга,а это время соответственно хешрейт очень сильно упадет.

Эту проблему уже многие решили ,из Китая конечно многим пришлось увозить фермы но этих крупных майнеров с радостью приняли в том же Казахстане.