В Lightning Network обнаружили критическую уязвимость
Исследователи Козимо Сгуанчи и Анастасиос Сидиропулос из Университета Иллинойса сообщили, что сеть Lightning Network потенциально уязвима перед «зомби-атакой» и скоординированной атакой двойной траты — они опубликовали статью, в которой описали гипотетическую атаку, основанную на сговоре операторов узлов, в ходе которой коалиция из 30 узлов может украсть 750 BTC ($17 млн).
«Зомби-атака»: злоумышленники теоретически могут контролировать определенное количество узлов и отключать каналы, для этого нужно, чтобы несколько узлов одновременно перестали отвечать на запросы, блокируя активы в любом канале, подключенном к этим узлам. Но пользователи могут защититься от атаки, закрыв свои каналы и выйдя с Lightning Network.
Но аналитики считают, что массовая атака двойной траты будет более прибыльной. Теоретически, мошенники могут сговориться с несколькими десятками крупных узлов и перегрузить сеть, отправляя поток транзакций для закрытия большого количества каналов Lightning Network. Если злоумышленники заплатят высокую комиссию и пройдут вперед в очереди, они смогут потратить BTC дважды.
Пользователи могут попробовать защититься от подобной атаки с помощью «транзакций справедливости», оспаривая мошеннические запросы на закрытие канала — в таком случае злоумышленники будут соревноваться с честными узлами в убеждении майнеров включать мошеннические транзакции перед честными транзакциями. Если честные узлы не смогут платить майнерам достаточно, чтобы они включали свои транзакции, мошенники выиграют.
Аналитики предложили в качестве защиты от атаки двойной траты увеличить переменную «to_safe_delay», которая добавляет дополнительную плату за более длительное ожидание, если пользователь решает закрыть канал без какого-либо ответа от своего контрагента.
Стоит отметить, что еще в 2019 году группа исследователей раскрыла простую в исполнении, но в то же время разрушительную атаку типа «отказ в обслуживании» (DoS), которая теоретически может быть задействована для замедления или полной остановки значительной доли платежей в сети.