La rete Lightning di Bitcoin è vulnerabile al "saccheggio": lo spiega una nuova ricerca

Gli aggressori esperti potrebbero essere in grado di "saccheggiare"Bitcoin da altri tramite Lightning Network se gli utenti T prestano attenzione, avverte un nuovo rapporto sulla sicurezza informatica.

Gli informatici dell'Università Ebraica di Gerusalemme Jona Harris e Aviv Zohar hanno esaminato più da vicino un attacco "sistemico" a Lightning Network che potrebbe portare alla perdita di fondi. L'attacco, che descrivono nel loro nuovocarta"Flood & Loot: un attacco sistemico alla Lightning Network" sfrutta la congestione della blockchain Bitcoin .

Il problema con la blockchain Bitcoin è che è lenta a regolare i pagamenti e supporta solo poche transazioni al secondo. Lightning Network è una soluzione di secondo livello che aiuta a risolvere questo enorme problema estraendo i pagamenti dalla blockchain Bitcoin .

Ma Lightning è ancora legato alla blockchain Bitcoin . Questo attacco sfrutta la connessione e cerca di trarre vantaggio dalle limitazioni di Bitcoin sopra menzionate.

Gli sviluppatori conoscono da tempo questo vettore di attacco. Ma prima del report di Harris e Zohar, ONE aveva fatto un'analisi approfondita per misurare in dettaglio quanto sarebbe stato fattibile un attacco del genere. Questi ricercatori hanno scoperto che un attacco non è molto difficile e potrebbe essere redditizio per gli aggressori.

"L'elevato volume di transazioni nella blockchain risultante non consentirà la corretta liquidazione di tutti i debiti e gli aggressori potrebbero farla franca rubando alcuni fondi", scrive Harris in uninviarespiegando la meccanica dell'attacco.

Harris mette in guardia gli utenti dal provare questo attacco poiché "può consentire il furto di fondi da parte di utenti innocenti. Non provateci a casa".

Il 'Diluvio'

L'attacco si basa su alcuni componenti della Lightning Network.

L'intero scopo di Lightning Network è di KEEP i fondi "off-chain", ovvero "fuori" dalla blockchain Bitcoin . In questo modo, le persone possono effettuare pagamenti in Bitcoin utilizzando il meno possibile lo scarso spazio di blocco di bitcoin. Bitcoin può gestire solo poche transazioni al secondo in totale, il che T è molto.

Detto questo, se qualcosa va storto, l'utente ha sempre la possibilità di rimandare la propria transazione Lightning alla blockchain Bitcoin .

Continua a leggere: Lightning risolve il problema di velocità di Bitcoin, ma attenzione ai truffatori

Innanzitutto, Lightning funziona al meglio quando la blockchain sottostante viene utilizzata in modo molto minimo. Il problema si verifica se un gruppo di canali Lightning vengono chiusi contemporaneamente nella parte "flood" dell'attacco: la rete Bitcoin sottostante non riesce a gestire il volume, causando problemi.

In secondo luogo, in ogni transazione è inserita una data di scadenza entro la quale gli utenti possono inviare nuovamente i propri Bitcoin alla blockchain senza che qualcuno possa rubarli.

Lightning Network è composta da migliaia di nodi. Similmente a come funziona Internet sotto il cofano, un pagamento deve saltare lungo diversi nodi prima di raggiungere la sua destinazione. Lightning utilizza "contratti hash time-locked" (HTLC) supportati dalla crittografia in modo che gli utenti T debbano affidare i propri soldi a questi perfetti sconosciuti. Gli HTLC hanno regole integrate, come la richiesta di conoscenza di un "Secret" per ottenere il Bitcoin al suo interno, che nessuno di questi estranei intermediari conosce.

Ma i ricercatori stanno esplorando un modo per in qualche modo ingannare il sistema. In breve, gli HTLC inseriscono una scadenza in ognuno di questi pagamenti, dando agli utenti la possibilità di "regolare" i loro fondi sulla blockchain Bitcoin se qualcosa va storto. Dopo che questa scadenza è passata, gli HTLC sono in palio; di conseguenza, un utente malintenzionato può rubare i fondi contenuti nei contratti.

Il 'Bottino'

Potresti riuscire a vedere dove sta andando. Gli aggressori sfruttano la congestione della blockchain e la abbinano allo sfruttamento delle scadenze HTLC.

L'attacco si basa sul fatto che la blockchain Bitcoin sia piena fino all'orlo di transazioni, in modo che non ne possano passare altre. L'attaccante spera di riuscire a far passare i contratti oltre le scadenze predefinite. In caso di successo, l'attaccante può iniziare a "saccheggiare" i contratti scaduti.

"Attaccando molti canali e costringendoli a chiuderli tutti contemporaneamente [...], alcune delle transazioni che rivendicano HTLC delle vittime non verranno confermate in tempo e l'attaccante le ruberà", spiega Harris nel post del blog.

I ricercatori hanno eseguito delle simulazioni su un Lightning Network di prova con monete fittizie per testare la fattibilità di un simile attacco.

In breve, ogni canale chiuso determina ONE transazione inviata alla blockchain Bitcoin . L'attaccante tenterà di chiudere simultaneamente quanti più canali possibile per aumentare il numero di transazioni inviate alla blockchain, aumentando le possibilità di successo.

Utilizzando le loro simulazioni, i ricercatori hanno scoperto che attaccare 85 canali contemporaneamente era sufficiente per "garantire il successo dell'attacco".

Harris nota che un aggressore che prende di mira 100 canali porta a una ricompensa di "almeno" 7402 HTLC, con l'HTLC medio che oggi detiene circa $ 138 in Bitcoin. Ciò potrebbe significare una giornata di paga di circa $ 1.021.476.

Hanno anche scoperto che, come previsto, un minor spazio di blocco comporta un tasso di successo dell'attacco più elevato, perché è meno probabile che un HTLC venga eseguito prima della scadenza.

Anche trovare "potenziali vittime" è stato inquietantemente facile. Nella simulazione, i ricercatori hanno scoperto che T era difficile impostare canali con altri utenti. Infatti, il 95% dei nodi Lightning ha accettato i loro inviti a impostare un canale Lightning.

La soluzione

Tuttavia, questa ricerca potrebbe essere vista come parte di uno sforzo più ampio per migliorare il sistema di pagamento e, ONE spera, renderlo più sicuro per più utenti. In questo modo, i bitcoiner amano descrivere Bitcoin come "anti-fragile": più un sistema fallisce e più è soggetto ad attacchi, più diventa forte.

I ricercatori sostengono che l'attacco è sistemico e che "eliminare completamente il rischio sembra un compito complicato".

Detto questo, Harris suggerisce diverse strategie per risolvere il problema, o almeno migliorarlo se il problema T può essere eliminato del tutto. ONE è aumentare la scadenza HTLC in modo che sia più facile per un utente contrastare l'attaccante tramite la blockchain Bitcoin in tempo.

Sergi Delgado, sviluppatore della torre di controllo di Lightning Network, Teos, ha dichiarato a CoinDesk che i cosiddetti "anchor output", un aggiornamento in corso, potrebbero rendere l'attacco molto più difficile.

Gli output di Anchor consentirebbero agli utenti di aumentare la commissione di transazione per ottenere la transazione nella blockchain Bitcoin più velocemente. Questo passaggio renderebbe più difficile per l'attaccante impedire che una contro-transazione venga inviata alla blockchain.

"L'attuale, semplice versione delle ancore T risolve il problema [...], ma una versione più matura dovrebbe farlo", ha affermato Delgado.

Continua a leggere: I ricercatori scoprono vulnerabilità Privacy nei pagamenti Bitcoin Lightning Network

Lightning Network potrebbe migliorare significativamente i pagamenti in Bitcoin velocizzandoli e scalando Bitcoin nel suo complesso in modo che più persone possano usare la valuta digitale contemporaneamente. Ma molti sostengono che la rete T è pronta per il PRIME time. Man mano che la rete cresce, i ricercatori stanno esplorando problemi come ONE nella speranza che ONE giorno possano essere risolti.

Con questi e altri potenziali miglioramenti, Harris pensa che ci sia speranza. Ma ci vorrà del lavoro. "Credo che Lightning Network sia qui per restare, ma ovviamente è necessario altro lavoro per ridurre al minimo il potenziale di tali minacce prima che [Lightning] possa diventare mainstream. Ci sono discussioni in corso nella comunità su questo e credo che siamo sulla strada giusta", ha detto Harris.