關鍵事實:
Corallo 保證2022 年12 月發現的漏洞尚未修正。
他說,更有效的糾正措施將涉及挖礦層面的改變。
比特幣核心開發人員、Spiral BTC 團隊現任成員Matt Corallo 對比特幣閃電網路上實施的緩解措施的有效性提出了質疑,以解決他的同行Antoine Riard 最近發現的漏洞。 「可以說,他們只是提供了一份公共關係聲明,」他寫道。
Corallo 透過回覆Riard 在Lightning-dev 和Bitcoin-Dev 開發者郵件清單上的訊息表達了他的觀點。在他的文章中,他質疑2022 年12 月發現的周期性交易替換攻擊能否透過網路用戶端迄今實施的緩解措施得到解決。
Antoine Riard 在10 月中旬報告的漏洞被視為對閃電網路的潛在威脅,因為它能夠使節點遭受資金損失。具體來說,它涉及用HTLC(帶有時間鎖定和哈希的合約)替換交易,以在轉發節點能夠合法地收集餘額之前收集其餘額,如CriptoNoticias 中所述。
在這個問題上,Corallo 保證所提出的解決方案——掃描記憶體礦池(未確認交易的臨時記憶體)以及放棄和重新傳輸交易——並不有效。他認為,如果攻擊者快速連接到本地閃電節點,記憶體礦池掃描可能會無效,並且具有大量處理能力的攻擊者可以繞過交易放棄和重傳。
那麼比特幣核心開發者提出了什麼建議呢? Corallo 認為,一個有效的解決方案可能是讓礦工保留他們所看到的交易的歷史記錄,並在可能的情況下將它們重新引入內存礦池,尤其是在循環替換攻擊之後。
尚未出現的危險
當然,在安托萬·裡亞德的揭露之後開始的思想交易所將會有更多的情節。到目前為止的事實是,自2022 年底檢測到此威脅以來的10 個月內沒有發生週期性替換攻擊。顯然,直到主要客戶實施了更新以緩解漏洞(至少部分地,正如Corallo 所建議的那樣),該漏洞才被揭露。最終發生了。
比特幣Optech 每週報告中做出的一項重要澄清是,這些類型的攻擊只能影響路由或轉送節點。這些類型的節點由連接到網路服務的線上錢包(熱錢包)組成,因此「永遠遠離丟失所有資金的漏洞」。
因此,任何考慮循環替換攻擊影響的人都必須考慮到此漏洞是在已經存在且已被設定轉發節點的人接受的風險框架內發生的。
同樣,閃電實驗室的首席技術官(CTO)Olaoluwa Osuntokun認為,循環替換攻擊是“脆弱的”,並且滿足不容易滿足的要求,例如每個節點一個配置、計時和執行的極高精確度、重疊未經確認的交易和整個網路的瞬時傳播。
資訊來源:0x資訊編譯自CRYPTONOTICIAS,版權歸作者所有,未經許可,不得轉載
0X簡體中文版:馬特·科拉羅(Matt Corallo) 表示,比特幣閃電網路仍然脆弱