Исследователи обнаружили уязвимости Политика конфиденциальности в платежах Bitcoin Lightning Network

Новое исследование предупреждает, что пользователи Криптовалюта Lightning Network могут раскрыть финансовую информацию о платежах в Bitcoin , которые считаются анонимными.

Второй финансовый уровень, Lightning Network, был предложен в 2016 году для повышения скорости, доступности и Политика конфиденциальности Bitcoin платежи. В попытке повысить анонимность транзакции транслируются из блокчейна Bitcoin и маршрутизируются через зашифрованные сообщения.

Но согласно двум научным работам, опубликованным вМаршировать и Апрель, относительно простые кибератаки могут раскрыть балансы в Lightning Network. Авторы мартовской статьи также раскрыли пути и стороны скрытых платежей.

«Разрыв между потенциальными свойствами Политика конфиденциальности Lightning Network и фактическими огромен. В том виде, в котором она разработана сейчас, Lightning Network открывает двери для различных атак», — сказала Аня Пиотровска, исследователь криптографии в Университетском колледже Лондона, которая сотрудничала с Иллинойсским университетом в Урбане-Шампейне в ходе мартовского исследования.

Читать дальше: Исследователи обнаружили, что сеть Lightning Bitcoin становится «все более централизованной»

Узлы, строительные блоки Lightning Network, являются программными шлюзами, которые обмениваются Bitcoin через платежные каналы. Обе исследовательские группы, другая из Люксембургского университета и Норвежского университета науки и Технологии, проводили атаки только на публичные каналы. Согласно отчет в январе На Криптовалюта бирже BitMEX 72,2% каналов Lightning Network являются публично объявленными, а 27,8% остаются конфиденциальными.

«Поскольку Lightning Network набирает популярность, ее часто рекламируют как альтернативу Bitcoin , которая не только более масштабируема, но и более конфиденциальна», — сказала Пиотровска, которая также работает в стартапе по созданию инфраструктуры Политика конфиденциальности Криптовалюта . Технологии Nym«Мы посчитали, что это интересный исследовательский вопрос — изучить, насколько на самом деле приватна компания Lightning».

Множество академических и корпоративных учреждений занялись разработкой Lightning Network, от Инициативы цифровой валюты Массачусетского технологического института до Maker Bitcoin спутников Blockstream, инженерной группы Lightning Labs и Квадратный Криптo, Криптовалюта подразделение публичной финансово- Технологии компании Square.

В декабре Bitfinex, крупная Криптовалюта биржа, решила разрешить клиентам торговать Bitcoin через Lightning Network.

Атака с трех направлений

Американские и британские исследователи, команда из семи человек, осуществили три атаки на Lightning Network в течение декабря, января и февраля. Две атаки были направлены на тестовую сеть Lightning Network и основную сеть для определения балансов.

Путем пересылки платежей с поддельными хэшами — уникальными криптографическими идентификаторами транзакций — на каналы, открытые с использованием 132 тестовых сетевых узлов и шести из 10 крупнейших основных сетевых узлов, первая атака на баланс получила доступ к балансам 619 тестовых сетевых каналов и 678 основных сетевых каналов.

Рассылка спама с поддельными платежами прекратилась, когда сообщения об ошибках исчезли, что является признаком того, что реальные суммы по каналам были сопоставлены.

Читать дальше: Магазины каннабиса используют приложение Zap Lightning во время нехватки наличных из-за коронавируса

В начале первой атаки на баланс было опробовано 4585 тестовых сетевых каналов и 1293 основных сетевых канала из 3035 тестовых сетевых узлов, совместно использующих 8665 каналов, и 6107 основных сетевых узлов, совместно использующих 35 069 каналов.

Вторая атака на баланс также обнаружила балансы случайно выбранных основных сетевых каналов в процессе исключения с сообщениями об ошибках. Однако хэши платежей были направлены через два канала, которые исследователи открыли с двумя промежуточными каналами, которые находились между ONE начальным и ONE конечным каналом.

Объединив изменения в балансах, полученные в результате первых двух атак, третья атака создала снимки сети Lightning Network в различные временные интервалы для обнаружения движения платежей, а также их отправителей, получателей и сумм.

«Идентификация отправителя и получателя означает, что мы идентифицируем их по их открытым ключам и любой другой информации, связанной с узлом», такой как IP-адрес, числовая строка, которая отмечает местоположение электронного устройства, подключенного к Интернету, сказала она. Открытые ключи свободно передаются между сторонами в платежных взаимодействиях; закрытые ключи, которые тщательно охраняются и дают право собственности на средства, не извлекались.

Пиотровска отметила, что по этическим соображениям третья атака была проведена на симуляторе Lightning Network.

Анализ атак

Мариуш Новоставски, специалист по информатике из Норвежского университета науки и Технологии и ONE из четырех авторов апрельской статьи, сказал, что первая атака на баланс, описанная в мартовской статье, является производной от «старого известного метода», а вторая атака на баланс, хотя и новая, ограничена атаками небольшого масштаба.

Вторая атака на баланс «требует открытия двух каналов для каждого проверяемого канала, что чрезвычайно затратно, поскольку эти открывающие и закрывающие каналы должны быть в цепочке», — сказал Новоставски. «И для этого требуется, чтобы баланс в ONE из каналов был размещен на стороне проверяемого узла», что ставит под угрозу средства злоумышленника.

Читать дальше: Lightning решает проблему скорости Bitcoin, но остерегайтесь мошенников

Чтобы предотвратить потерю средств, внешний сервис ликвидности — аналогичный поставщику ликвидности Bitrefill, использованному в мартовской бумажной атаке — должен финансировать канал. Тем не менее, атака на баланс проваливается, если канал отказывается принять открытие канала, сказал Новоставски.

Балансовая атака, которую изучают люксембургские и норвежские исследователи, T расходует ресурсы и не полагается на промежуточные каналы, сказал Новоставски. Атака также представляет собой алгоритм чтения сообщений об ошибках, который проверяет каналы, но, предположительно, в большем и более быстром масштабе, что сокращает открытие новых каналов, время блокировки средств и контакт с блокчейном Bitcoin .

Бенедикт Бюнц, исследователь из Группы прикладной криптографии Стэнфордского университета, назвал эти работы важными для Политика конфиденциальности криптовалют.

«Для надежной и хорошей Политика конфиденциальности необходимы криптографические решения, такие как доказательства с нулевым разглашением и конфиденциальные транзакции», — сказал Бюнц. Доказательства с нулевым разглашением, криптографическая структура, могут облегчить платежи, которые T оставляют следов информации у другой стороны.

Прочитайте обе статьи ниже: