В Lightning Network обнаружена возможность атаки на цепочки платежных каналов

исследовании Йона Харрис (Jona Harris) и Авив Зохар (Aviv Zohar) из Еврейского университета в Иерусалиме обнаружили, что злоумышленники могут использовать уязвимость Lightning Network, чтобы украсть BTC пользователей.

Lightning Network Биткоина – платежная сеть второго уровня, которая была представлена в 2018 году. Исследователи обнаружили, что во время атаки используется механизм для пересылки платежей по нескольким каналам Lightning – контракт с блокировкой хэша и временной привязкой (HTLC). HTLC позволяют участникам направлять платежи через не требующие доверия промежуточные узлы, якобы гарантируя, что средства не будут украдены ни одним из них.

Хотя эти узлы могут попытаться украсть биткоины, но у них будет мало времени для этого. Как утверждают исследователи, хакеры могут попытаться увеличить этот временной промежуток. В атаке, описанной Харрисом и Зохаром, «злоумышленник вынуждает многих жертв одновременно наводнять блокчейн претензиями на их BTC. Затем хакер может использовать созданную ими перегрузку для кражи биткоинов, которые не были востребованы до истечения срока».

Для успешной кражи злоумышленник должен атаковать 85 каналов одновременно. В отчете говорится, что хакерам довольно легко найти ничего не подозревающих жертв. Уязвимые узлы должны лишь продемонстрировать «готовность открыть канал» с атакующим.

«Мы обнаружили, что подавляющее большинство активных узлов (~95%) готовы открывать канал по запросу и поэтому могут стать жертвами этой атаки», – пишут исследователи. При этом полностью защититься от такой атаки весьма проблематично. В исследовании говорится:

«Мы считаем, что во многих отношениях эти уязвимости – неотъемлемая часть того, как работает Lightning Network и, следовательно, атаки нельзя полностью избежать без серьезных изменений самой технологии». В статье говорится, что результаты исследования до публикации были переданы разработчикам трех основных реализаций Lightning.

Ранее в этом году исследователи из университетов Норвегии и Люксембурга обнаружили проблему конфиденциальности в Lightning Network. Уязвимость позволяет раскрыть балансы узлов, через которые проходит транзакция.