Атака которая может полностью остановить lighting платежи

[Alex077 16090]

       

Статья написанная Сааром Тохнером, Авивом Зохаром и Стефаном Шмидом,  описывается как атака типа «отказ в обслуживании» (DoS), которая может быть использована для замедления или даже остановки огромного процента платежей в lighting сети. Хотя это не было замечено в реальной жизни, и технология молнии все еще находится в процессе разработки, она считается серьезным недостатком для сети. Документ, озаглавленный «Угон маршрутов в платежных сетях», был опубликован в середине сентября.

«Атака допускает нарушение платежей в lighting сети», - сказал Зохар.

Это возможно, потому что каждый платеж молниеносной сети передается через сеть узлов для достижения пункта назначения. Если один из этих промежуточных узлов является плохим, он может замедлить платеж, или не так быстро передать платеж, как это должно быть.

Более того, в настоящее время, по словам Зохара, для выполнения атаки отказа в обслуживании не требуется много мощности.

Quote

«Это очень легко выполнить. Требуется открыть несколько молниеносных каналов для ключевых точек, пообещать нулевые сборы, а затем не передавать никаких платежей », - сказал он.

Это атака, которую исследователи еще не видели в реальных сетях, но она может сделать сеть молниеносных платежей более сложной в использовании. И это открытие привлекло внимание разработчиков, которые работают над биткоинами и lighting сетями.

«Хотелось бы, чтобы все разработчики подумали об этой атаке», - сказал исследователь биткоина Глеб Науменко.

«Документ очень интересный, так же как и анализ различных эвристических методов, используемых для поиска путей, и мы очень рады видеть, как независимые исследователи работают над тем, как lighting сети можно атаковать», - сказал  технический директор lighting стартапа Acinq, Фабрис Друин.

«Усиленный» отказ в обслуживании

Когда пользователь отправляет платеж через lighting, его приложение решает, какой путь выбрать, основываясь на многих факторах, включая то, какой узел требует наименьших сборов.

Хотя в молниеносной сети существуют сотни узлов, злоумышленник может использовать эту атаку, чтобы убедиться, что существует высокая вероятность того, что их узел будет выбран. Они могут сделать это, «анализируя, как каждая реализация вычисляет маршруты для разработки стратегии, которая позволяет злоумышленникам выбирать свои узлы на максимально возможном количестве маршрутов», - сказал Друин.

«Мы можем открыть каналы, которые предлагают короткие и недорогие маршруты в сети, которые затем выбираются (почти всегда) для маршрута», - пояснил Зохар.

Делая это, они могут захватывать значительную часть платежей сети в определенный момент времени. «Мы находим, что всего пяти новых ссылок достаточно, чтобы привлечь большую часть (65–75%) трафика, независимо от используемой реализации», - поясняется в документе.

Более того, они могут делать это снова и снова, чтобы гарантировать, что платеж будет прекращен.

«Затем, когда приходит запрос на оплату, мы можем просто отказаться от его отправки. Когда выбирается новый путь […], каналы атакующего снова выбираются для маршрута », - сказал Зохар.

«Я думаю, что сеть просто сейчас не используется интенсивно, и нарушение ее работы не наносит слишком большого ущерба. Атака не дает средств атакующему напрямую, поэтому стимул будет существовать только в том случае, если lighting активно используется в качестве платежной сети », - сказал Зохар.

Следует отметить, что для злоумышленника такой маневр «недешев», утверждает Друин, потому что «злоумышленникам необходимо открывать фактические каналы и блокировать средства, которые будут закрыты и оплачивать сборы в сети всякий раз, когда платеж заблокирован и время вышло."

Тем не менее, Зохар утверждает, что «это не так дорого, учитывая ущерб, который вы наносите», добавляя: «Вам потребуется около 20 или около того новых каналов, чтобы атаковать около 80% всех транзакций, поэтому общая стоимость атаки составит около 2000 долларов».

[dudlinivan 157]

Возможно это не эдинственный потенциальный прокол разработчиков, но уже неплохо что им подсказали такой вариант. Если учитывать, что, как я понял, зхатраты на торможение сети больше чем выгода, злоумышленники могут подумать как получить ту самую выгоду по другому. Тема интересная, присоединяйтесь, поразмышляем вместе.

[epidemia 17674]

18 hours ago, Telnov0926 said:

У меня был такой случай что я в каком то баунти нафармил 50 баксов в монетах которые еще не вышли на биржу,а только листились,и на них была проведена атака и я ничего не получил 

А поконкретней? Кого и когда атаковали? Почему Вы в итоге ничего не получили?)

5 minutes ago, hafizov said:

Хм, странная система, но в принципе логично, биток взломать не смогли, вышел лайтинг , начали искать новые дыры в безопасности и просто тысячами лезут как крысы.

Биток сломать очень дорого...я бы даже сказал, что сейчас это нереально, но более молодые блокчейны атакуют на постоянной основе. Взять тоже Эфир Классик, то его, если память не изменяет, атаковали в 2018 году...а это проект явно не с 2-3 сотни по капитализации.

[GodBlessMe 325]

Ого, это что то новенькое. Но я лайтингом не пользуюсь, поэтому не критично для меня. Если только курс содрогнется когда будут подобные проблемы.

[Mint Karras 2851]

2 hours ago, BIGkinder said:

Почему эти умы, которые придумывают все эти атаки не сделают что-нибудь полезное. Неужели проще и выгоднее воровать, чем что-то создавать? Ведь на создании можно тоже отлично делать деньги, и не прятаться в тени. 

Этот вопрос выходит за рамки криптомира и программирования и относится скорее к общей психологии человечества и даже философии. ))Воры, аферисты и мошенники были, есть и будут всегда, так уж человек устроен. Никакие цифровые технологии этого положения вещей не изменят, всегда будут умники, которые смогут обманывать даже искусственный интеллект в далеком цифровом будущем. 

[Energy787 199]

3 hours ago, BIGkinder said:

Почему эти умы, которые придумывают все эти атаки не сделают что-нибудь полезное. Неужели проще и выгоднее воровать, чем что-то создавать? Ведь на создании можно тоже отлично делать деньги, и не прятаться в тени. 

Полностью с вами согласен. К сожалению у нас всегда так, проще своровать, чем придумать и создать что то новое. На готовом ведь всегда проще.

[justdoit 570]

5 minutes ago, asimov said:

Мне кажется сейчас огромное количество хакеров попрёт на лайтинг, так же как сначала с битком было , все пытались ломануть, не получилось, сейчас новый шанс на ошибку , опять будут рыть.

Лучше найти сейчас и взломать, чем потом когда он будет стоить овердохера.

[Edgar 1087]

Всегда стоит задумываться о безопасности своих монет,Хакеры с каждым днём становятся всё сильнее и от них уже не скрыться,всегда стоит задуматься о рисках..

[funderson 1210]

работать нужно постоянно, чтобы защищать lighting платежи. ничего не получится у хакеров, потому что и защищают их не люди, не пальцем деланные, так сказать.

[kara-nara 1284]

Лайтинг платежи ? Мне кажется у них есть свой план который защитит их от внешних факторо, просто они не хотят вскрывать все свои карты.

[nvz6354 5514]

On 21.10.2019 at 15:33, akwdm said:

Любая новая функций на сайте или в программе,  рождает новый риск .

Например работает BTC  и  его уязвимости все проверены, но появляется lighting и  хакеры начинают искать в нём дырки и хитрости работы.

Но я так понимаю это сеть в стадии разработки. И то что эксперты указывают на недостатки это просто сигнал для разработчиков что бы исправить.

[wertek09 131]

On 24.10.2019 at 10:09, GodBlessMe said:

Ого, это что то новенькое. Но я лайтингом не пользуюсь, поэтому не критично для меня. Если только курс содрогнется когда будут подобные проблемы.

До момента, пока его станут использовать, думаю его обкатают и устранят все возможные погрешности, ведь направление очень правильное, и не хотелось бы терять такие возможности улучшения сервиса, которые я лично считаю универсальными для нынешнего времени.

[elinaleila 1759]

On 24.10.2019 at 10:10, BIGkinder said:

Почему эти умы, которые придумывают все эти атаки не сделают что-нибудь полезное. Неужели проще и выгоднее воровать, чем что-то создавать? Ведь на создании можно тоже отлично делать деньги, и не прятаться в тени. 

За подобными атаками стоят очень масштабные силы, кому это выгодно, думаю. И даже представители государства могут использовать эти игры, участвовать в них. Так что это вопрос из разряда почему страны не могут мирно жить и постоянно ведут фсб-госдеповские теневые игры, шпионят 

[Gosha63 224]

А ведь эта атака может нанести серьёзные проблемы крпуным монетам и биржам. Зорооо, что разработчики рассказывают об этой ситуации и предотвращают попытку взлома и краха крипты хакерами 

[Jamesq 920]

Да, это ставит многое под угрозу, возможно из за таких новостей люди и остерегаются делать вклады в криптовалюту и оставляют деньги в кармане. Не только биткоин это касается 

Edited October 28, 2019 by Jamesq

[YarikDjabarov 168]

Я считаю, что людям нужно более тщательно подходить к защите своих монет) Скоро будет ситуация, как и с битком на его начале существования)

[elinaleila 1759]

5 hours ago, Gosha63 said:

А ведь эта атака может нанести серьёзные проблемы крпуным монетам и биржам. Зорооо, что разработчики рассказывают об этой ситуации и предотвращают попытку взлома и краха крипты хакерами 

Ну и крупным инвесторам, богатейшим людям, тоже может нанести определены вред, манипулируя их доверием к тематике крикптовалюты. Так что тема эта вообще обширная очень 

[Makccc 1602]

Всегда следите за безопасностью своих монет! Это очень важно для вас и вашей репутации.Хакеры с каждым днём становятся всё сильнее и хитрее и их очень много,от них не сбежать,так что следите за собой.

[benzotrav 37724]

On 23.10.2019 at 15:04, Telnov0926 said:

У меня был такой случай что я в каком то баунти нафармил 50 баксов в монетах которые еще не вышли на биржу,а только листились,и на них была проведена атака и я ничего не получил 

Ты же мог обратится в тех.поддержку или связаться с создателями сервиса и попросить тебе их выплатить эти утерянные средства, чтобы они в свою очередь не получили удар по репутации.

[Liitol 167]

Вот так всегда, одни в поиске бесплатного решения, другие всегда находят как на этом навариться. И теперь система станет платной, потому как бесплатно она с уязвимостью.

[Sni7a 432]

вот это единственный что не нравится в крипте то что понимаешь что есть хакеры которые ждут любое не хватка в какой нибудь платформа или монета что бы ее атаковали .. бинанс сколько раз за эти годы могли ее атаковать , так же мт гокс 2013 и всегда меня не понятно куда уйдут вот эти деньги 

[Trade1337 2098]

Выглядит конечно очень дешево всего за 2000$ можно просто убить сеть, выглядит как то не оченнь надежно но тут встает вопрос, как долго получится поддерживать атаку на сеть всего за 2000$ если маленькое количество времени то выглядит очень грустно(

[razin89 18]

Та что тут можно сказать, молодцы ребята что вовремя спахватились и устранили этот недояет, надеюсь новых не будет.

[karnero 2815]

Я не понимаю, зачем атаковать lighting в принципе, ведь они, как курьеры, просто осуществляют доставку и делают жизнь лучше. Цель не ясна.

[OnlyBanAfter50posts 308]

Вообще странный пост, слабо вериться. Где-то я это уже видел...