比特幣核心程式錯誤為攻擊者竊取閃電網路和主鏈之間交易中的資金打開了大門。為此,Bitcoin Core開發者敦促閃電節點使用者或其他BTC傳輸平台上的應用程式使用者盡快將其軟體更新至Bitcoin Core的最新版本。
根據開發者Eugene Siegel 透過Delving Bitcoin 提供的信息,「雖然大部分網路已經更新到至少22.0 版本,但仍有數千個掉隊者,因此預計這一披露將激勵那些運行閃電節點的升級到更安全的版本。」這個錯誤的披露是在大約3 年前負責任地進行的,在此期間,工程師和開發人員在沒有公開披露資訊的情況下進行了修復,以防止任何人惡意使用該資訊。
具體來說,該錯誤允許攻擊者找到連接到運行v22 之前版本的比特幣核心版本的比特幣中繼節點的閃電網路中繼節點。 「攻擊者打開了許多與受害者的比特幣節點的單獨連接。 然後,攻擊者嘗試以比任何誠實對等點更快的速度將新發現的區塊傳遞給受害者,從而導致受害者節點自動將攻擊者控制的對等點分配給所有高寬度緊湊塊中繼槽。“受害者的頻寬”,比特幣解釋道光電技術團隊。
在攻擊者獲得對受害者的大量比特幣插槽的控制權後,他使用他在主網和受害者的閃電網路上控制的通道來轉發他創建的付款。
在所描述的一種潛在情況中,攻擊者與比特幣礦工合作創建一個區塊,單方面關閉接收方的閃電支付通道,而無需在未經確認的狀態下重新傳輸交易(該礦工協助僅在攻擊時才有必要)監控記憶體礦池交易的閃電網路實作)。
該交易區塊或礦工創建的另一個區塊也透過釋放HTLC 原像(贖回在閃電網路中交易所的資金所需的臨時合約)來要求付款。接下來發生的事情是,受害者的比特幣節點看到該區塊並將其傳輸到他們的閃電節點,以提取原像,從而允許他們向消費者一方索取支付金額。
「然而,在這種情況下,攻擊者使用這種顯示的區塊鎖定攻擊來阻止比特幣核心節點知道包含原像的區塊,」比特幣Optech 團隊評論說。
死鎖攻擊利用了比特幣核心的早期版本,在向另一個對等點請求該區塊之前,願意等待長達10 分鐘等待對等點交付其宣布的區塊。考慮到區塊之間的平均間隔為10 分鐘,這意味著控制x 個連接的攻擊者可以將比特幣節點接收區塊的時間延遲到生成x 個區塊所需的時間。如果必須在40 個區塊內要求重新發送付款,則控制50 個連接的攻擊者可能有合理的機會阻止比特幣節點看到包含原像的區塊,直到支出節點可以收到付款退款。如果發生這種情況,攻擊者的支出節點不會支付任何費用,而攻擊者的接收節點會收到從受害者節點取得的金額。
Bitcoin Optech,比特幣和閃電網路發展的傳播網站。
這並不是比特幣核心團隊第一次負責任地揭露網路主客戶端的程式錯誤,該錯誤已得到修正。正如CriptoNoticias 最近報導的那樣,在24 版軟體中,錢包中發現了錯誤並已修正。
資訊來源:0x資訊編譯自CRYPTONOTICIAS,版權歸作者所有,未經許可,不得轉載
0X簡體中文版:比特幣核心錯誤影響使用過時軟體的用戶