براساس یک مقاله تحقیقاتی که اخیرا منتشر شده ، لایتنینگ نتورک بیت کوین (bitcoin) می تواند در برابر یک حمله ی ساده و مخرب آسیب پذیر باشد.
در مقاله ای که توسط (Aviv Zohar) ، (Saar Tochner) و(Stefan Schmid) نوشته شده است ، یک حمله انکار سرویس (DoS)یا (denial-of-service) شرح داده شده است که می تواند برای کند کردن یا حتی متوقف کردن درصد عظیمی از پرداخت ها در شبکه استفاده شود و اگرچه این اتفاق تاکنون دیده نشده و فناوری لایتنینگ هنوز در حال تکمیل است ، یا این حال این یک نقص بزرگ در شبکه محسوب می شود. این مقاله با عنوان “مسیرهای دزدی در شبکه های پرداخت” در اواسط سپتامبر منتشر شد.
تاچنر (Tochner ) و زهار (Zohar ) هر دو در دانشگاه عبری اورشلیم تحصیل کرده اند و اشمید (Schmid ) در دانشگاه وین مشغول به کار است.
زهار(Zohar ) گفت: ” این حمله باعث اختلال در روند پرداخت لایتنینگ نتورک می شود.”
این امر امکان پذیر است زیرا هر پرداخت لایتنینگ نتورک برای رسیدن به مقصد خود از بین شبکه ای از گره ها منتقل می شود. اگر یکی از این گره های میانی درست عمل نکند ، به جای این که سریعاً طبق آنچه باید انجام شود عمل کند ، و سریعا پرداخت را اجرا کند، می تواند باعث کندی روند پرداخت شود.
از این گذشته ، به گفته (Zohar) ، در حال حاضر اجرای حمله انکار سرویس ، خیلی هم سخت نیست.
“اجرای آن بسیار آسان است.فقط لازم است چندین کانال لایتنینگ را به نقاط کلیدی باز کند ، هزینه های صفر را وعده دهد و سپس هیچ هزینه ای را بازپرداخت نکند. ”
این حمله ای است که محققان تاکنون ندیده اند ، اما به طور بالقوه می تواند استفاده از شبکه پرداخت لایتنینگ را دشوارتر کند. و این کشفی است که مورد توجه توسعه دهندگانی قرار گرفته است که بر روی بیت کوین (bitcoin ) و لایتنینگ کار می کنند.
محقق بیت کوین (bitcoin ) ، به نام (Gleb Naumenko) ، به CoinDesk گفت : “ای کاش این نوع حمله را پیش بینی می کردم .”
مدیر عامل ارشد استارتاپ (Acinq ) به نام (Fabrice Drouin) گفت: “این مقاله بسیار جالب است ، همچنین تجزیه و تحلیل اکتشافات مختلفی که برای یافتن مسیر استفاده می شود ، و ما بسیار خوشحالیم که محققان مستقل در خصوص چگونگی سوءاستفاده و حمله به لایتنینگ کار می کنند.”
“توضیحات بیشتر” انکار سرویس
هنگامی که کاربر یک پرداخت را از طریق لایتنینگ ارسال می کند ، برنامه آنها تصمیم می گیرد که براساس بسیاری از عوامل ، از جمله این که کدام گره نیاز به کمترین هزینه را دارد ، مسیرش را انتخاب کند.
گرچه صدها گره در لایتنینگ نتورک وجود دارد ، یک شخص می تواند از این حمله استفاده کند تا مطمئن شود احتمال زیاد گره آنها انتخاب می شود. آنها می توانند این کار را با “تحلیل چگونگی محاسبه مسیرها برای طراحی استراتژی انجام دهند که مهاجمان را قادر می سازد گره های خود را در بیشترین مسیر های ممکن انتخاب کنند.”
(Zohar ) در ادامه گفت : “ما می توانیم کانال هایی را ارائه دهیم که مسیرهای کوتاه و کم هزینه را در شبکه ارائه می دهند و سپس (تقریباً همیشه) برای مسیر انتخاب می شوند.”
با انجام این کار ، آنها می توانند بخش قابل توجهی از پرداخت های شبکه را در یک زمان معین کسب کنند. این مقاله توضیح می دهد: “ما متوجه شدیم که فقط پنج لینک جدید برای جلب اکثريت (۶۵٪ – ۷۵٪) از ترافیک صرف نظر از اجرای مورد استفاده ، کافی است.”
علاوه بر این ، آنها می توانند بارها و بارها این کار را انجام دهند تا زمانی که اطمینان حاصل شود پرداخت متوقف می شود.
“سپس ، هنگامی که یک درخواست پرداخت وارد می شود ، می توانیم از ارسال آن امتناع ورزیم. وقتی مسیر جدیدی انتخاب شد […] کانال های مهاجم مجدداً برای این مسیر انتخاب می شوند. ”
به همان اندازه که این حمله بد به نظر می رسد ، تا کنون دیده نشده است.
وی گفت: “من فکر می کنم شبکه در حال حاضر بسیار زیاد استفاده نمی شود و مختل کردن آن آسیب زیادی وارد نمی کند. حمله مستقیماً به مهاجمان دسترسی به وجوه را نمی دهد ، بنابراین انگیزه فقط در صورتی وجود خواهد داشت که از لایتنینگ به عنوان یک شبکه پرداخت استفاده شود. ”
لازم به ذکر است که (Drouin ) معتقد است برای مهاجم نیز ، چنین مانوری “ارزان نیست” ، زیرا “مهاجمان باید کانال های واقعی را باز کرده و وجوه را قفل کنند ، هنگام پرداخت هزینه های زنجیره ای و هنگامی که پرداخت لاک می شود و زمان پایان می یابد بسته می شود .”
با این حال ، (Zohar) استدلال می کند که “با توجه به خسارت وارده به شما ، این حمله چندان هم گران نیست” و اضافه می کند: “برای حمله به ۸۰٪ از کل معاملات به حدود ۲۰ کانال مجازی جدید نیاز دارید ، بنابراین هزینه کل می تواند حدود ۲۰۰۰ دلار باشد.”
(توقف حمله)
توسعه دهندگان لایتنینگ قبول دارند که این یک روش حمله جدی است اما آن ها خوشبین هستند که تغییرات آینده حمله را بسیار سخت تر می کند.
الكس بوسورث (Alex Bosworth)، رهبر زیرساخت های آزمایشگاه های لایتنینگ ، گفت: “این موضوعی است كه صحبت کردن در مورد آن فعلا دشوار است زیرا ما هنوز در حال توسعه سیستم مسیر یابی در LND هستیم و این یك هدف در حال توسعه است.”
(LND) سیستم اجرای لایتنینگ نتورک است که توسط لایتنینگ لبز ساخته شده است. بوسورث در ادامه خاطرنشان كرد كه تغییرات به سرعت در حال وقوع هستند و نسخه جدید (LND) كه به تازگی در روز سه شنبه منتشر شده است ، دارای “تغییرات اساسی” است كه بر مسیریابی كه توسط محققان در خصوص این حمله بررسی شده ، تأثیر می گذارد.
وی گفت: “من نمی گویم كه هیچ راه حل قطعی برای متوقف كردن كسانی كه سعی در اختلال پرداخت دارند ، وجود دارد ، زیرا این سیستمی است كه طراحی همتا به همتای آن به معنای این است كه هرکسی می تواند در آن مشاركت كند و مسیری را انتخاب نکند یا ترجیح دهد مسیر دلخواه خود را انتخاب كند.”
پرداخت های “ترامپولین ” (Trampoline)
کد لایتنینگ بسیار سریع تغییر می کند و هنوز تغییرات زیادی در مسیر های آن وجود دارد.
توسعه دهندگان لایتنینگ می گویند برخی از این تغییرات می توانند اجرای حمله را برای افراد سخت تر کنند ، از جمله سیستم ممنوعیت کاربران “بد”.
(Drouin) گفت: “همچنین ، با رشد شبکه ، اجرای لایتنینگ نتورک روش های تشخیص تهاجمی تری را برای ممنوعیت سوء استفاده گران به کار می گیرد … و چنین حملاتی کوتاه تر می شوند.”
وی گفت: “به عنوان مثال ، وقتی محاسبه می کنیم ، فقط به ارزان ترین گزینه ها نگاه نمی کنیم ، سعی می کنیم کانال های قدیمی تر را انتخاب کنیم ، بنابراین یک مهاجم باید صبر کند تا بتواند حمله را انجام دهد.”
دروین در ادامه تصریح کرد که پیشرفت های دیگری نیز از جمله پرداخت ترامپولین وجود دارد ، ویژگی پیشنهادی توسط سازنده بلاک استریم لایتنینگ ، کریستین دکر (Christian Decker)، که به دلیل اختراع مستقل یک شبکه کانال پرداخت شبیه به لایتنینگ در سال ۲۰۱۵ شناخته شده بود ، ارایه شده است.
قرار است لایتنینگ یک شبکه ی سریع باشد اما در پشت صحنه ، هر گرهی در شبکه که پرداختی را از نقطه A تا نقطه B حمل می کند ، با توجه به اطلاعاتی که حمل می کند نیاز به انجام کمی محاسبه دارد. در حقیقت ، همه کاربران لایتنینگ دارای تجهیزات کافی نیستند که بتوانند این محاسبات را انجام دهند ، بنابراین به سیستم “ترامپولین” نیاز دارند.
به عنوان مثال امروزه کاربر معمولی در شبکه ممکن است پرداخت بیت کوین (bitcoin ) را از طریق تلفن هوشمند ارسال کند ،که دستگاه چندان قدرتمندی نیست. بنابراین ایده این است که اجازه دهیم گره های کوچک تر محاسبه را به گره های “ترامپولین” که قدرت محاسباتی بیشتری دارند ، بسپارند.
ترجمه توسط دلاریپتو
No views yet
دیدگاه بگذارید