解析闪电网络的漏洞:悲伤攻击、时间膨胀日食和固定攻击_比特币:Global Business Hub

每当有人提到比特币网络是多么的缓慢和昂贵,最常见的反对比特币论点是闪电网络——“比特币是更好的!”闪电网络是即时的,而且不收费!”这是一个典型的转移注意力的方法,因为它试图将我们的注意力转移到一个腐败的、中心化的第三方网络上,而这个第三方网络甚至根本没有与比特币连接。在本文中,将介绍为什么BTC闪电网络是错误的、中心化的,并且有许多安全漏洞。闪电网络是中心化的。中本聪非常清楚转移到第三方网络的潜在风险,但有一群所谓的“比特币最大化者”正在破坏中本聪的真实愿景,试图获得控制权。

BTC闪电网络声称使用一个小额支付渠道网络,使比特币每天的交易规模达到数十亿笔。但他们没有告诉你的是,这只在他们的中心化银行中心起作用。在最近发表的一篇题为《闪电网络:比特币经济中心化的第二条道路》(由研究人员Jian-HongLin、KevinPrimicerio、TizianoSquartini、ChristianDecker和ClaudioJ.Tessone撰写)的论文中,他们发现了许多危险信号。通过对总容量变化的研究,研究者发现了闪电网络协议中的许多漏洞。他们发现,大约10%的节点控制着网络上80%的资金。这是很危险的,因为如果大部分比特币仅由几个节点持有,网络就更容易受到黑客的攻击,因为移除这些路由节点会留下巨大的漏洞。

Beosin:Avalanche链上Platypus项目损失850万美元攻击事件解析:2月17日,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、 预警与阻断平台监测显示,Avalanche链上的Platypus项目合约遭受闪电贷攻击,Beosin安全团队分析发现攻击者首先通过闪电贷借出4400万USDC之后调用Platypus Finance合约的deposit函数质押,该函数会为攻击者铸造等量的LP-USDC,随后攻击者再把所有LP-USDC质押进MasterPlatypusV4合约的4号池子当中,然后调用positionView函数利用_borrowLimitUSP函数计算出可借贷余额,_borrowLimitUSP函数会返回攻击者在MasterPlatypusV4中质押物品的价值的百分比作为可借贷上限,利用该返回值通过borrow函数铸造了大量USP(获利点),由于攻击者自身存在利用LP-USDC借贷的大量债务(USP),那么在正常逻辑下是不应该能提取出质押品的,但是MasterPlatypusV4合约的emergencyWithdraw函数检查机制存在问题,仅检测了用户的借贷额是否超过该用户的borrowLimitUSP(借贷上限)而没有检查用户是否归还债务的情况下,使攻击者成功提取出了质押品(4400万LP-USDC)。归还4400万USDC闪电贷后, 攻击者还剩余41,794,533USP,随后攻击者将获利的USP兑换为价值8,522,926美元的各类稳定币。[2023/2/17 12:12:32]

Beosin解析Reaper Farm遭攻击事件:_withdraw中owner地址可控且未作任何访问控制:8月2日消息,据 Beosin EagleEye 安全舆情监控数据显示,Reaper Farm 项目遭到黑客攻击,Beosin 安全团队发现由于_withdraw 中 owner 地址可控且未作任何访问控制,导致调用 withdraw 或 redeem 函数可提取任意用户资产。攻击者(0x5636 开头)利用攻击合约(0x8162 开头)通过漏洞合约(0xcda5 开头)提取用户资金,累计获利 62 ETH 和 160 万 DAI,约价值 170 万美元,目前攻击者(0x2c17 开头)已通过跨链将所有获利资金转入 Tornado.Cash。[2022/8/2 2:54:18]

“移除集线器会导致网络崩溃成许多组件……这表明这个网络可能是所谓的分裂攻击的目标,”可能会导致闪电被一分为二。

Cobo区块链安全团队公开0xDAO潜在盗币漏洞发现过程及技术细节解析:4月2日消息,0xDAO v2原计划上线前的几个小时,Cobo区块链安全团队启动对该项目的DaaS投前例行安全评估工作,随后在github开源的项目代码中发现了一个严重的安全漏洞。经评估,如果 0xDAO v2此时继续上线,该漏洞预计会造成数亿美金的资产损失。Cobo区块链安全团队立即启动应急预案,快速通过多个渠道联系到0xDAO项目方,提交该漏洞的完整攻击流程,紧急叫停了项目上线,随后协助0xDAO项目方对该漏洞进行了修复。

日前,0xDAO官方发布推文向Cobo区块链安全团队表示了感谢,并且表示会按照严重漏洞级别给予Cobo区块链安全团队漏洞赏金奖励。[2022/4/2 14:00:31]

闪电网络无法在全球范围内运行

比特币闪电网络容量被定义为网络在任何给定时间可以处理的比特币数量。要让这个平台在全球范围内被数十亿人使用,就需要将其扩大到不切实际的更高水平,而这根本是不可能的。

动态 | EOSCanada 解析 B1 源代码解释相关期权兑现计划:据 IMEOS 报道,EOSCanada 发布文章解析 B1 源代码,以解释相关期权兑现计划。文中经过源代码分析得出结论,截至2019年1月1日,Block.one 可以赎回共计5879120个代币。分析结果认为,如果 Block.one 想要以小于其全部权重的票数进行投票,则他们必须赎回当前最大数量的代币。然后,他们必须将这些代币转移到一个单独的帐户,抵押,然后投票。截至撰写该文时(2019年3月中旬),这笔金额约为785万美元。因此,虽然 Block.one 以外的任何人都不知道他们投票的想法或他们想要用他们的代币做什么,但我们现在都能理解实际存在的限制。[2019/3/21]

截至目前,该网络仅能处理约2800枚比特币,约占比特币总供应量的0.0001%。由于每天都有价值数十亿美元的比特币交易,这一点都不现实。闪电网络上的支付通道也需要通过昂贵的L1比特币交易来打开和关闭。该网络每区块可以处理约2000笔交易,每天产生约144区块交易,这意味着为地球上的每个人打开一个支付通道需要约72年,假设在此期间没有人死亡或生子。比特币的波动性使得LN不可行

动态 | 浙江大学携手剑桥大学发布区块链生态深层解析报告:近期,浙江大学互联网金融研究院携手剑桥大学新兴金融研究中心发布区块链生态深层解析报告《Distributed Ledger Technology Systems-A Conceptual Framework》的中文版——《分布式账本技术系统:一个概念框架》。浙大AIF副院长杨小虎指出,该报告不仅阐明了如何识别DLT系统,分析和比较现有的DLT系统,还通过六个实例为新系统设计提供有用的借鉴。[2018/8/17]

撇开其他缺点不谈,我们就当闪电网络运行得很完美吧。为什么会有人或公司选择使用它呢?比特币的剧烈波动让很多人望而却步,尤其是那些对使用它作为支付方式感兴趣的人。比特币价格的波动性使得企业在为产品定价、向客户出售产品、甚至从供应商那里购买库存时,很难使用比特币作为支付方式。让我用一个例子来更好地解释这个问题:让我们假设“WhaleCorp”公司必须向其比特币供应商支付发票。一般来说,供应商会给客户付款的时间,比如30天。如果比特币的价格在30天内上涨了10%,WhaleCorp就必须再拿出价值10%的法定货币或其他加密货币来转换成比特币,并向供应商支付发票。这种交易风险的存在,是因为企业的客户可能会用法定货币而不是比特币支付。消费者交易也存在交换风险,因为大多数个人的工资不是以比特币支付的,导致交易从法定货币转换为比特币。闪电网络声称不收取任何费用,如果他们的网络没有完全中心化,如果比特币不是地球上最不稳定的资产之一,这将是令人惊讶的。萨尔瓦多闪电网络的使用

萨尔瓦多前段时间成为世界上第一个采用比特币作为法定货币的国家。这一受到比特币社区大多数人欢迎的举措,后来被证明不过是一个萨尔瓦多政府对前所未有控制权的攫取。

当萨尔瓦多总统纳伊布·布克尔(NayibBukele)在2021年迈阿密比特币大会上表示支持比特币时,人们兴奋不已。他没有提到的是,人们将被迫使用Chivo,一个完全中心化的LN钱包。在最近的一条推特中,布克尔说“Chivo不是一家银行”,他是对的。Chivo比世界上任何一家银行都要中心化1000倍。萨尔瓦多政府现在完全直接控制所有资金,可以随时打开或关闭他们的钱包。我们亲眼目睹了这一点,当他们推出的那天,他们很快就因为“技术困难”而关闭了。我们还在社交媒体上收到了数十份他们的交易没有通过闪电网络的报告。为什么?因为LN只适用于1-5美元的小额交易,不能超过400美元。一个限制人们只花400美元的中心化网络?也许我漏掉了什么,但这怎么能算是银行的升级呢?闪电网络的漏洞

独立的闪电网络开发者JoostJager在过去的几年里表达了许多对网络的担忧。他声称,虽然他们构建的许多功能都很棒,但它确实会带来一些严重的威胁。

闪电网络漏洞#1:悲伤攻击

Jager的帖子详细介绍了自Lightning成立以来就可能发生的所谓“悲痛”攻击,并影响了正常和新推出的wumbo频道。闪电通道使用一个名为哈希时间锁定合约(HTLC)的加密功能在网络上执行支付。闪电通道只能容纳几百台HTLC。一旦达到上限,渠道将无法再处理支付——资金将被卡住,渠道必须关闭。悲伤可能是混乱的:考虑到几乎没有人真正使用闪电网络,这并不是一个大问题到目前为止。但它可能是…它将允许攻击者通过发送小额支付垃圾邮件来冻结储存在闪电通道的任何比特币。虽然他们无法窃取比特币,但这可能会破坏其他人的交易。闪电网络漏洞#2:时间膨胀日食

如果攻击者将数百个节点旋转起来,并以一种使受害者不再与任何诚实用户连接的方式聚集所有闪电节点的连接,攻击者就可以隔离该节点,使其无法接收真实的网络数据。随着节点的连接“重叠”,攻击者可以以比正常情况更慢的速度提供节点交易数据。一旦攻击者关闭其与受害者的闪电通道,他或她可以从该通道窃取资金,因为其主机节点不会看到该通道在区块链上的关闭交易,因为区块链接收数据的速度不够快。这次攻击很严重,受害者可能会损失资金。也就是说,攻击确实需要恶意行为者操作和协调数百个节点才能成功地掩盖受害者。闪电网络漏洞#3:固定

另一种需要不一致的交易数据的攻击称为“固定攻击”。为了利用这个漏洞,老练的攻击者通过将冲突交易广播到具有不同内存池的单独节点来阻止通道的关闭交易。(比特币网络上没有统一的待完成交易池;一些节点接收交易,而另一些节点不基于点对点网络连接的分布,因此每个内存池是不同的)。使用多种技术,其中一种包括为关闭交易设置足够低的费用,以确保在通道的时间锁定到期前交易不会被确认,攻击者可以受害者以不正确的方式关闭他或她的通道,从而窃取单个交易。结论

比特币闪电网络不仅仅是一个失败。这是一个陷阱,与中本聪用比特币网络建立的一切背道而驰。它通常是由铁杆的比特币极端主义者推动的,这些人要么从未读过白皮书,要么对LN的工作原理一无所知,要么是有意试图引诱新用户进入一个错误的、中心化的局面。随着最近Twitter增加了一个比特币闪电网络TipJar的消息,人们应该知道这个系统的真相,我相信这个系统在未来会面临很多失败。Source:https://cryptowhale.medium.com/why-the-bitcoin-lightning-network-is-satoshi-nakamotos-worst-nightmare-8402be4a4e73本文来自去中心化金融社区,星球日报经授权转载。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

波场NFT 繁荣下的危机:是藏家还是徒?_NFT:POL

作者|陈丽姗编审|于百程排版|王纪珑琰作为区块链技术上的产物,NFT是IP文化的载体。目前NFT市场的生产力和生产关系是不相适应的。NFT误解:NFT是一种“发币”行为、NFT是“金融化产品”.

[0:15ms0-0:907ms