Các nhà nghiên cứu Các lỗ hổng bảo mật bề mặt trong Thanh toán bằng Bitcoin Lightning

Cập nhật thông tin mới nhất về Các nhà nghiên cứu Các lỗ hổng bảo mật bề mặt trong Thanh toán bằng Bitcoin Lightning

www.coindesk.com

21 tháng 4 năm 2020 21:30, giờ UTC

Thời gian đọc: ~ 5 m


Nghiên cứu mới cảnh báo người dùng tiền điện tử rằng Lightning Network có thể tiết lộ thông tin tài chính của các khoản thanh toán bitcoin được cho là ẩn danh.

Lớp tài chính thứ hai, Lightning Network đã được đề xuất vào năm 2016 để cải thiện tốc độ, khả năng chi trả và quyền riêng tư của các khoản thanh toán bằng bitcoin. Trong một nỗ lực để tăng cường tính ẩn danh, các giao dịch được phát ra khỏi chuỗi khối bitcoin và được định tuyến thông qua các giao tiếp được mã hóa.

Nhưng theo hai bài báo học thuật được xuất bản vào tháng 3 và tháng 4, các cuộc tấn công mạng tương đối đơn giản có thể tạo ra số dư trên Lightning Network. Các tác giả của bài báo tháng Ba cũng làm sáng tỏ các con đường và các bên của các khoản thanh toán ẩn.

“Khoảng cách giữa các thuộc tính quyền riêng tư tiềm năng của Lightning Network và các đặc tính thực tế là rất lớn. Vì nó được thiết kế ngay bây giờ, Lightning Network mở ra cánh cửa cho nhiều cuộc tấn công khác nhau ”, Ania Piotrowska, một nhà nghiên cứu mật mã tại Đại học College London, đã hợp tác với Đại học Illinois tại Urbana-Champaign trong nghiên cứu hồi tháng 3 cho biết.

Đọc thêm: Mạng Lightning của Bitcoin đang phát triển ‘Ngày càng tập trung’, các nhà nghiên cứu Tìm thấy

Các nút, khối xây dựng của Lightning Network, là cổng phần mềm trao đổi bitcoin qua các kênh thanh toán. Cả hai nhóm nghiên cứu, nhóm còn lại tại Đại học Luxembourg và Đại học Khoa học và Công nghệ Na Uy, chỉ tiến hành các cuộc tấn công trên các kênh công khai. Theo một báo cáo vào tháng 1 từ sàn giao dịch tiền điện tử BitMEX, 72,2% kênh Lightning Network được công bố công khai và 27,8% được giữ kín.

Piotrowska, người cũng làm việc tại công ty khởi nghiệp cơ sở hạ tầng bảo mật tiền điện tử Nym Technologies, cho biết: “Khi Lightning Network ngày càng phổ biến, nó thường được coi là một giải pháp thay thế cho bitcoin. “Chúng tôi cảm thấy rằng đó là một câu hỏi nghiên cứu thú vị để nghiên cứu Lightning thực sự riêng tư như thế nào.”

Một loạt các tổ chức học thuật và công ty đã phát triển Lightning Network, từ Sáng kiến ​​tiền tệ kỹ thuật số của Viện Công nghệ Massachusetts, đến nhà sản xuất vệ tinh bitcoin Blockstream, nhóm kỹ thuật Lightning Labs và Square Crypto, đơn vị tiền điện tử của công ty công nghệ tài chính được giao dịch công khai Square.

Vào tháng 12, Bitfinex, một sàn giao dịch tiền điện tử khối lượng lớn, đã chọn cho phép khách hàng giao dịch bitcoin qua Lightning Network.

Các nhà nghiên cứu Mỹ và Anh, một nhóm gồm 7 người, đã thực hiện ba cuộc tấn công vào Lightning Network trong các tháng 12, 1 và 2. Hai cuộc tấn công nhắm vào mạng thử nghiệm và mạng chính của Lightning Network để xác định số dư.

Bằng cách chuyển tiếp các khoản thanh toán với hàm băm giả – mã nhận dạng mã hóa duy nhất của các giao dịch – đến các kênh được mở với 132 nút mạng thử nghiệm và sáu trong số 10 nút mạng chính lớn nhất, cuộc tấn công số dư đầu tiên đã truy cập vào số dư của 619 kênh mạng thử nghiệm và 678 kênh mạng chính.

Việc gửi spam thanh toán giả đã bị dừng lại khi thông báo lỗi biến mất, một dấu hiệu cho thấy số tiền thực tế trên kênh đã được khớp.

Đọc thêm: Các cửa hàng cần sa đang sử dụng ứng dụng Lightning của Zap trong thời gian Coronavirus Cash Crunch

Khi bắt đầu cuộc tấn công số dư đầu tiên, 4.585 kênh mạng thử nghiệm và 1.293 kênh mạng chính đã được thử nghiệm từ 3.035 nút mạng thử nghiệm chia sẻ 8.665 kênh và 6.107 nút mạng chính chia sẻ 35.069 kênh.

Cuộc tấn công số dư thứ hai cũng phát hiện ra số dư của các kênh mạng chính được lựa chọn ngẫu nhiên trong một quá trình loại bỏ với các thông báo lỗi. Tuy nhiên, các băm thanh toán được chuyển qua hai kênh mà các nhà nghiên cứu đã mở bằng hai kênh trung gian nằm giữa một kênh đầu và một kênh kết thúc.

Kết hợp các thay đổi trong số dư học được từ hai cuộc tấn công đầu tiên, cuộc tấn công thứ ba đã xây dựng ảnh chụp nhanh của Lightning Network tại các khoảng thời gian khác nhau để phát hiện các chuyển động thanh toán và người gửi, người nhận và số tiền của chúng.

Bà nói. Khóa công khai được trao tay tự do giữa các bên trong các tương tác thanh toán; các khóa cá nhân được bảo vệ chặt chẽ và cho phép truy cập quyền sở hữu các quỹ đã không được trích xuất.

Piotrowska lưu ý rằng, do những lo ngại về đạo đức, cuộc tấn công thứ ba đã được thực hiện trên một mô phỏng của Lightning Network.

Mariusz Nowostawski, một nhà khoa học máy tính tại Đại học Khoa học và Công nghệ Na Uy và là một trong bốn tác giả của bài báo tháng 4, cho biết cuộc tấn công số dư đầu tiên của bài báo tháng 3 là dẫn xuất của “một phương pháp cũ hơn, đã biết” và cuộc tấn công số dư thứ hai, trong khi mới, được giới hạn trong các cuộc tấn công quy mô nhỏ.

Cuộc tấn công số dư thứ hai “yêu cầu mở hai kênh cho mỗi kênh đơn lẻ đang được thăm dò, điều này cực kỳ tốn kém vì các kênh mở và đóng đó cần phải trên chuỗi,” Nowostawski nói. “Và nó yêu cầu số dư trong một trong các kênh phải được đặt ở phía bên của nút đang được thăm dò,” gây rủi ro cho tiền của kẻ tấn công.

Đọc thêm: Lightning giải quyết vấn đề tốc độ của Bitcoin, nhưng đề phòng kẻ gian lận

Để ngăn chặn việc mất tiền, một dịch vụ thanh khoản bên ngoài – tương tự như nhà cung cấp thanh khoản Bitrefill được sử dụng trong cuộc tấn công giấy vào tháng 3 – cần cấp vốn cho kênh. Ngay cả như vậy, cuộc tấn công cân bằng sẽ không ổn định nếu một kênh từ chối chấp nhận việc mở kênh, Nowostawski nói.

Nowostawski cho biết cuộc tấn công cân bằng được nghiên cứu bởi Luxembourger và Na Uy không sử dụng tài nguyên hoặc dựa vào các kênh trung gian. Cuộc tấn công cũng là một thuật toán đọc thông báo lỗi để thăm dò các kênh, nhưng được cho là ở quy mô lớn hơn và nhanh hơn để giảm số lần mở kênh mới, thời gian khóa quỹ và liên hệ với chuỗi khối bitcoin.

Benedikt Bünz, một nhà nghiên cứu của Nhóm Mật mã Ứng dụng của Đại học Stanford, người đã hợp tác với công ty truy tìm tiền điện tử Chainalysis trong các nghiên cứu về blockchain, gọi các giấy tờ này là quan trọng đối với quyền riêng tư trong tiền điện tử.

Bünz cho biết: “Để có được sự riêng tư tốt và mạnh mẽ, các giải pháp mật mã như bằng chứng không có kiến ​​thức và các giao dịch bí mật là cần thiết. Bằng chứng không có kiến ​​thức, một cấu trúc mật mã, có thể tạo điều kiện cho các khoản thanh toán không để lại dấu vết thông tin với bên khác.

Đọc bài báo tháng 3 dưới đây:


Viết một bình luận