買比特幣 買比特幣
Ctrl+D 買比特幣
ads

COI:Bitcoin Core開發者:閃電網絡易受時間膨脹攻擊,防日蝕攻擊或成關鍵_sunbittern

Author:

Time:1900/1/1 0:00:00

以下是譯文:時間膨脹(Time-dilation)攻擊,目前似乎是通過日蝕攻擊竊取閃電網絡用戶資金的最實用方法,原因有幾個,攻擊既不需要調用算力,也不只是針對商家。這是關于閃電網絡時間膨脹攻擊的完整論文:https://arxiv.org/abs/2006.01418簡介為什么它很重要?只是理論上的問題嗎?難道受害者就沒法看到區塊停滯的情況嗎?攻擊好吧,怎么解決?結論比特幣底層的協議真的很酷,它們在可擴展性、保密性和功能性方面提供了巨大的機會,但代價是新的安全性假設。我們都知道支付通道必須受到監控,否則,資金就可能被盜。這聽起來有點抽象,為此,我們決定研究一個攻擊者究竟要做些什么,才能從閃電網絡用戶那里竊取到資金。更具體地說,我們探討了點對點層攻擊如何有助于打破上述假設。每次時間膨脹攻擊,攻擊者控制受害者對比特幣網絡的訪問,并延遲向受害者發送區塊。之后,攻擊者就利用受害者無法及時訪問最近區塊這一點施行攻擊。在某些情況下,僅僅隔離受害者兩個小時就足夠了。然后,攻擊者在閃電網絡上對受害者的通道執行兩個操作,同時提交一個不同的狀態。由于受害者在最新的區塊鏈提示方面落后,他們無法檢測到這一點并按照協議的要求作出反應。我們演示了攻擊者從受害者處竊取資金的三種不同方式,并討論了這些攻擊的可行性/成本。我們還探索了廣泛的對策,這可能會大大增加攻擊成本。簡而言之,我們的研究收獲是:很多閃電網絡用戶目前易受日蝕攻擊。運行BitcoinCore全節點的閃電網絡用戶對日蝕攻擊更為健壯,但正如最近的研究所表明的,這些攻擊仍然是可能的。日蝕攻擊可通過時間膨脹來竊取LN用戶的資金。僅僅觀察慢區塊到達,并不能緩解時間膨脹攻擊,因此對于第3點,并沒有簡單的解決方案。因此,時間膨脹是一種從被遮蔽的用戶那里竊取資金的實用方法。這種方法既不需要算力,也不只針對商家。其中,輕客戶端用戶是很好的攻擊目標,因為他們容易受到攻擊,而全節點用戶同樣也是很好的攻擊目標,因為它們經常被主要的hub使用,竊取它們的總流動性,意味著即便是高昂的攻擊成本也可能是合理的。強大的反日蝕攻擊措施是關鍵的解決方案,另外暸望塔解決方案也很酷。為什么這很重要?

期權交易分析工具平臺SignalPlus集成Deribit加密貨幣衍生品交易:12月28日消息,期權交易分析工具平臺SignalPlus宣布集成Deribit加密貨幣衍生品交易,Signal Plus用戶可直接在平臺上交易加密貨幣衍生品。Deribit用戶也可以通過Signal Plus連接其Deribit賬戶API進行交易從而使用平臺風控、可視化數據等功能。Signal Plus表示將向早期支持者空投限量版NFT。[2022/12/29 22:13:16]

首先,時間膨脹攻擊目前對很多閃電網絡客戶端都是可行的。同時,這些問題是根本性的,不會消失。我們將在下一節中進一步討論這個問題。然而,這項研究工作不應被視為對閃電網絡的批評。相反,我們的目標是使閃電網絡的安全模型更加清晰。廣義而言,了解這些問題并提出緩解措施將有助于使平臺更加成熟。當閃電網絡受到更廣泛的關注時,成千上萬的參與者將不得不考慮這些攻擊,以確保他們的棧是安全的。希望我們的研究工作可以:為比特幣和閃電網絡協議開發人員提供相關的協議改進和對策。讓閃電網絡集成商做正確的事情。讓閃電網絡用戶對他們使用的軟件做出明智的決定。確保比特幣之上的其它協議是安全的。讓大家更關注閃電網絡堆棧中不那么核心的部分的安全問題。只是理論上的問題嗎?

攻擊者既不必控制密鑰基礎設施,也不必租用任何算力。攻擊者可以同時從多個通道進行竊取,以證明攻擊的代價是合理的。最后,受害者不一定要是商家。為了利用時間膨脹來竊取資金,攻擊者應打開與受害者的通道,并使受害者的比特幣客戶端失效。前者通常是可行的:LN節點通常默認接受打開通道的請求。而后者——日蝕攻擊,通常被認為是非常困難的。“攻擊者可以在不對節點進行物理訪問的情況下進行日蝕攻擊。”——SergiDelgado根據最新的研究,只有在攻擊者能夠訪問關鍵的互聯網基礎設施的情況下,它們才是攻擊BitcoinCore全節點的實用工具。僅僅攻擊比特幣軟件被認為是不夠的。但是,如果攻擊者竊取受害者的全部可用資金,并因此可獲得很高的收益,那么高昂的攻擊成本也是具有合理性的。至于輕客戶端,不幸的是,對它們發動日蝕攻擊一點也不難。能夠為輕客戶端提供服務的比特幣節點非常少,此外,輕客戶端的防女巫機制也很差。因此,它要求攻擊者運行數百個惡意節點/服務器,并向Eclipse輕客戶端提供不同的IP。需要明確的是,整個過程需要的時間就是1小時,花費則不到100美元。但假設輕客戶端連接到來自網絡的隨機比特幣節點,這是正確的。如果輕客戶端連接到用戶自己的比特幣節點,那就很好了。BitcoinCore節點仍然可能受到攻擊,但問題并沒有那么嚴重。輕客戶端也可以連接到受信任的節點。例如,錢包應用可能有一個比特幣輕客戶端在后臺與錢包開發者的全節點對話。閃電網絡應該是非托管的,所以我們不能僅僅假設信任錢包提供商的節點是可以的。如果將受信任的節點與隨機節點一起使用,則效果更好,但仍然難以推理。據我們所知,一些頂級的閃電網絡錢包就是使用的這種模型。這里的問題是,該軟件可以正確地實現半信任模型,但可信方仍然可以時間膨脹攻擊受害者的通道。例如,錢包開發者可以一次詐騙所有用戶,然后消失。在我們的研究工作中,我們關注的是一個信任最小化的場景,這類似于比特幣威脅模型,盡管大多數時間膨脹方面與受害者的區塊源無關。難道受害者就沒法看到區塊停滯的情況嗎?

USL職業運動員與加密貨幣薪酬服務商Bitwage達成合作:10月13日消息,USL職業足球運動員Alex Crognale與加密貨幣薪酬服務商Bitwage達成合作。據悉,Crognale在9月初以比特幣的形式收到了15%的USL薪水。(Asia One)[2021/10/13 20:25:24]

這不是檢測時間膨脹攻擊的可靠方法,因為挖礦是一個隨機過程。例如,比特幣網絡每天平均有7個區塊的間隔時間超過了30分鐘,這就是問題很難完全緩解的原因。BitcoinCore目前唯一可用的對策是過時提示檢測:如果一個節點在過去30分鐘內沒有觀察到某個區塊,它會嘗試與網絡中的某個人建立新的隨機連接。在論文中,我們認為最佳的攻擊策略是在向受害者饋送新的區塊之前保持29.5分鐘的窗口。在這種情況下,只有其中一個區塊自然地花費了太長時間,攻擊才會失敗。而失敗的概率大約為6%。失敗案例意味著受害者可能有機會擺脫日蝕攻擊。請注意,這一措施并沒有在Neutrino中實現,因此攻擊者完全可以停止饋送區塊,并利用比BitcoinCore更早的時間膨脹。需要改進這種檢測方法,因為它要么是可愚弄的,要么由于自然的“慢”區塊而具有很高的假陽性率。一個誠實的用戶無法區分一個“慢”區塊是否受到攻擊,所以他們只能做出一個很好的猜測。這些解決方案也有問題,因為即使是過時提示檢測也有太高的假陽性率,盡管它對時間膨脹不是很有效。其他基于檢測的解決方案也不是那么簡單。例如,查看區塊頭中的時間戳是很棘手的,并且要應用的準確分析也不清楚。那假設成功檢測到了,受害者會怎么做?這種反應可歸結為反日蝕措施,其應該首先實現,而無需任何觸發。這就是為什么我們強調對抗日蝕攻擊,是時間膨脹攻擊的關鍵解決方案。攻擊

Bitfinex將支持BCH網絡協議升級:金色財經報道,Bitfinex發布公告稱,將支持即將到來的比特幣現金(BCH)網絡協議升級以及任何相關的硬分叉。Bitfinex將于11月15日UTC時間10:00(北京時間18:00)暫停BCH存取款,將在UTC時間12:00(北京時間20:00)前完成賬戶的BCH余額快照。[2020/11/7 11:53:31]

下面說說攻擊的具體方法。首先,攻擊者應使誠實網絡受害者的比特幣客戶端處于被遮蔽的狀態。然后攻擊者必須找到受害者的閃電網絡節點,并與受害者打開一個通道。攻擊者也可以從一個開放的通道開始,然后找到并日蝕攻擊受害者的比特幣客戶端,這無關緊要。在此之后,攻擊者必須執行時間膨脹攻擊:他們開始以較慢的速度向受害者傳送區塊,直到受害者比實際提示落后N個區塊為止,其中N由特定配置定義。對于BitcoinCore,由于其實施了“過時提示檢測”規則,時間膨脹速度受到每個區塊延遲20分鐘的限制。而對于Neutrino,攻擊者可簡單地停止向受害者提供區塊。這就是為什么在下面的描述中,攻擊BitcoinCore需要花費更長的時間。在我們的描述中,估計的攻擊時間是基于論文中提出的最優時間膨脹策略。就數量而言,根據目前的實現,這三種攻擊都可能導致竊取閃電網絡通道的全部容量。現在,我們來描述三種從時間膨脹的閃電網絡節點的支付通道中竊取資金的方法。1、通道狀態終結攻擊,類似于常規的比特幣雙花:攻擊者假裝他們同意更新通道狀態并接收某些內容,然后使用不同的值關閉通道。由于受害者看不到最新的提示,因此他們不會發送撤銷交易。當前實現的默認安全區塊delta至少為144個區塊,因此攻擊者必須對受害者發動至少24小時的日蝕攻擊。2、每跳數據包延遲攻擊,它是基于受害者的路由,受害者與攻擊者應至少有兩個通道。

韓國第三大交易所Coinbit涉嫌操縱市場被查封:韓國第三大數字貨幣交易所Coinbit被韓國查封調查,其董事長以及運營方涉嫌交易所內部交易和操縱市場價格。據悉,Coinbit排在Bithumb和Upbit之后,為韓國第三大交易所。稱該公司涉嫌利用非法手段賺取了至少1000億韓元的非法利益(約8500萬美元),Coinbit同時涉嫌偽造了其超過99%交易量。Coinbit運營者ChoiMo和其他團隊成員在該交易所的不同賬戶之間買賣各種代幣,通過“幽靈賬戶”進行匹配交易,這影響了Coinbit的25.2萬名月活躍用戶。目前已經封鎖了該交易所的幾家分支機構,包括總部設在首爾江南區總部,調查正在進行中。(Seoul Shinmun)[2020/8/26]

與第一種攻擊類似,當受害者最終收到實際的區塊鏈提示時,其做出反應將為時過晚。每次攻擊,默認值約為14-144個區塊,具體取決于實現情況,因此攻擊者必須遮蔽受害者2-24小時。3、數據包終結攻擊,是最有創意的方法,也是最可行的攻擊方法!當受害者向攻擊者發送傳入HTLC的原像時,攻擊者不響應受害者。

WGC即將上線ABIT交易平臺:據官方消息,WGC(Wisdom Guardian Coin)即將登陸ABIT交易所,開放WGC/WDC交易對,具體時間如下:

6月10日13:00(GMT+8)開放充值;6月11日13:00(GMT+8)開放交易;6月12日13:00(GMT+8)開放提現。

WGC(Wisdom Guardian Coin),中文名十方盾,基于公鏈WDC(Wisdom Chain)的底層技術所開發,主要依托區塊上實時的點對點交換和支付服務,重構影視新業態,搭建投融、制作、版權全鏈條產業化新模式。WGC將主要適用于貝諾全球商業開發以及影視劇投資與原創短劇短綜藝等新興項目。

ABIT是創立于澳大利亞的交易平臺,致力于為全球用戶提供安全、穩定、高效的數字資產交易服務。[2020/6/2]

在這種情況下,相關的安全策略就要7-11個區塊,因此攻擊者對受害者發動日蝕攻擊最多只需持續2個小時。好吧,怎么解決這個問題?

首先,WatchTower是很實用的,它們應該可以幫你盯著通道,并且如果有人發動攻擊,WatchTower就會采取行動。但從協議的角度來看,這屬于欺騙的行為:實際上,這是一種更可信的假設。用戶將與WatchTower提供商綁定。一些設計提出了負責任的WatchTower,但同樣,這引入了新的假設,應該詳細探討。但畢竟,它們也可能會受到攻擊,甚至是出現賄賂的情況!我們將看到WatchTower在實踐中是如何運作的,然后讓我們考慮一下其它不需要進行新假設的解決方案。大多數“非欺騙”對策都是關于訪問比特幣網絡的冗余方式。越有創意越好!比如Blockstream衛星,或通過閃電網絡中繼區塊頭。你也可以在一些冗余的基礎設施下運行自己的WatchTower。P2P層隱私改進也有幫助。不過,Dandelion可能行不通,Tor也很棘手。但是其他想法還是有希望的。也許將來我們會看到一些混合網或SCION體系結構。如果您想知道為什么我們不討論基于檢測的解決方案,請回到上面,并在論文中閱讀更多內容。結論

我們相信閃電網絡是超級酷的,它已經是比特幣堆棧的重要組成部分。它將在未來獲得更多的關注,因此安全模型應該得到很好的理解,尤其是因為它不同于比特幣的安全模型。時間膨脹就是一個例子:時間膨脹是一種特定于LN的攻擊,盡管實際上它需要利用比特幣的P2P層。我們的研究工作詳細探討了時間膨脹攻擊,并提出了如何最大程度地減少損害的建議。我們鼓勵所有協議開發人員注意防女巫攻擊和防日蝕攻擊的措施。希望我們的工作,將有助于使閃電網絡變得更加成熟,并激勵系統參與者使用最安全的方案。我們在這里討論了一些很有意思的觀點,但論文當中還有更多,你可以關注。開放性問題

探索時間膨脹攻擊引發了我們兩人之間的一系列討論,我們希望與設法找到此部分的人分享其中的一些話題。這與論文的“討論”部分不同,因為它們與時間膨脹攻擊的關聯性較少。如果這些想法中的任何一個,已經有人討論過或者正在談論當中,我們都會很高興得知!我們有興趣探索支付通道的流動性/安全性權衡,特別是針對攻擊問題。我們認為,不僅通道容量應該定義CSV/CLTV時間鎖定值,還應考慮特定用戶的安全性。我們也有興趣探索后單協定的新機制。即使是因為Alice的反應遲鈍,Bob而單方面發起關閉,Bob也有可能退回到快速合作關閉。將來,如果閃電網絡節點使用“過時提示檢測”機制來強制關閉通道,我們可能會看到一群惡意礦工導致一系列通道關閉及費用增加問題的發生。我們有興趣了解這對礦工是否有利可圖,特別是鑒于減半后低區塊補貼的情況。在今年早些時候,我們已經在郵件列表中提到了這個問題。相比日蝕攻擊受害者的比特幣節點,攻擊者可日蝕攻擊一個閃電網絡節點,以控制受害者接收哪個通道的通知。探索攻擊者是否可通過這種方法操縱受害者的路由,來收取費用或監視受害者的付款,將是有趣的。如果你有興趣探索其中任何一種想法,或有類似的想法,請隨時與我們聯系。

Tags:BIT比特幣OINCOIsunbittern比特硬幣跟比特幣有沒有關系Chives Coinkucoin投資穩定幣

加密貨幣
okex:OKEx投研:反彈力度未超預期,弱勢格局將延續_KEX

BTC季度合約 各級別性質:日線-盤整,4小時-盤整,1小時-盤整截圖來自OKEX比特幣季度合約4小時圖:對于行情我從兩個角度來說,一個角度是客觀的走勢狀態以及根據客觀走勢所制定的應對策略.

1900/1/1 0:00:00
ETH:來自灰度的“共振盤”:以太漲1個點,它要漲20個點_THE

編者按:本文來自風火輪社區,作者:佩佩,Odaily星球日報經授權轉載。我們曾發過一篇文章:他們囤住了35萬btc,明年有望增至55萬枚,但卻是來做投機套利的之所以取這么個標題,是感覺國內的朋友.

1900/1/1 0:00:00
NFT:NFT是不是區塊鏈的“2020故事”_NFTY

區塊鏈缺一個好故事。這是很多區塊鏈人近年來的共識,從過往比特幣“抵抗通脹”,再到以太坊“萬物上鏈”,再到公鏈時代“DAPP”的故事后,區塊鏈行業好像缺少了新的能夠吸引人入場,讓人更加關注區塊鏈的.

1900/1/1 0:00:00
區塊鏈:星球日報 | USDC流通供應量超10億美元?;數字美元項目聯合負責人稱美國或將迅速試點數字美元_COMC價格

頭條 USDC流通供應量超10億美元Circle產品管理總監JoaoReginatto發推稱,USDC流通供應量已超過10億美元.

1900/1/1 0:00:00
比特幣:李笑來的瓜,吃不動了_比特幣美元

低調了很久的幣圈首富李笑來老師,最近又開始攪動幣圈了。起因是5月21號,李老師轉發了一條微博,不帶臟字的噴了幣安可能資金斷裂.

1900/1/1 0:00:00
VIZ:SEC凍結美國兩兄弟資產,以打擊加密貨幣騙局_HVI價格

編者按:本文來自Cointelegraph中文,作者:HELENPARTZ,Odaily星球日報經授權轉載.

1900/1/1 0:00:00
ads