‘Bitcoin Lightning netwerk kwetsbaar voor DoS-aanval’, stelt dit onderzoek
Het bitcoin Lightning netwerk is kwetsbaar voor een simpele maar effectieve aanval van kwaadwillenden, blijkt uit een recente onderzoekspaper (PDF). Het gaat om een theoretische aanval: de secundaire laag op het bitcoin netwerk is niet aangevallen.
Theoretische aanval
De onderzoekers Saar Tochner, Aviv Zohar en Stefan Schmid beschrijven een denial-of-service (DoS) aanval, waarmee betalingen op het netwerk te manipuleren zijn. In het ergste geval is het stopzetten van het netwerk mogelijk.
Er zijn geen aanwijzingen dat een aanval is voorgekomen en de technologie is nog een experiment. Wel zien de onderzoekers dit als een grote kwetsbaarheid van het huidige netwerk.
Paper
De paper met de titel ‘Hijacking Routes in Payment Networks’ is medio september gepubliceerd, zo bericht Coindesk. Tochner en Zohar werken bij de Universiteit van Jerusalem en Schmid werkt bij de Universiteit van Wenen.
Zohar licht toe: ‘Een aanval kan de betalingen op het lightning netwerk in de war schoppen’. Het is mogelijk omdat de meeste lightning netwerk betalingen langs een aantal nodes lopen voordat het zijn ‘bestemming’ bereikt is.
Het onderzoek stelt dat zodra één van de tussenliggende nodes kwaadwillend is, dan kan deze een betaling manipuleren door deze opzettelijk te vertragen. Op dit moment zijn er niet heel veel resources nodig om een denial of service aanval op te zetten, aldus Zohar.
[penci_blockquote style=”style-3″ align=”none” author=”Aviv Zohar”]‘Het is heel gemakkelijk om uit te voeren. Je kunt zelf een paar lightning channels openen, ‘0’ transactiekosten beloven en dan geen betalingen doorlaten’.[/penci_blockquote]
De onderzoekers hebben een dergelijke aanval nog niet ‘in het wild’ gezien.
Lightning community
Deze onthulling zet ook meer developers in de bitcoin en lightning community aan het denken. ‘Ik had gehoopt dat ik de aanval onthuld had’, zegt bitcoin onderzoeker Gleb Naumenko tegenover CoinDesk.
Acinq CTO Fabrice Drouin zegt erover: ‘De paper is zeer interessant, vanwege de verschillende scenario’s die men heeft doorlopen. Het is bemoedigend dat onafhankelijke onderzoekers Lightning tegen het licht houden’.
‘Denial of service’
Zodra een gebruiker een betaling verstuurt over het lightning netwerk, dan ‘kiest’ de Acinq app de betalingsroute, afhankelijk van diverse factoren, waaronder de transactiefees.
Volgens de explorer van Acinq zijn er momenteel ruim 4.400 nodes op het LN en ruim 35.000 payment channels. Niettemin kan een aanvaller een lage transactiefee instellen zodat de kans dat de keuze op hem valt, toeneemt.
Drouin: ‘Een aanvaller kan dit doen door te analyseren hoe elke implementatie een route programmeert om een strategie te ontwerpen. Zodra men daarachter is, kan men hun nodes in zo veel mogelijk routes terug laten komen’.
Zohar zegt: ‘We kunnen channels openen die korte en goedkopere routes op het netwerk zijn, zodat de keuze op deze nodes valt’. Op een gegeven moment is een significant gedeelte van het netwerk én de betalingen in handen van een paar aanvallers.
[penci_blockquote style=”style-3″ align=”none” author=”Aviv Zohar”]’We concluderen dat vijf nieuwe nodes genoeg is om het merendeel (65% tot 75%) van het betalingsverkeer je toe te eigenen, ongeacht welke implementatie je gebruikt’.[/penci_blockquote]
Dit kan volgens de onderzoekers worden herhaald tot het netwerk vastloopt. ‘Zodra een betalingsverzoek binnenkomt, kun je deze gewoon weigeren om te laten doorgaan. Zodra een nieuwe route is geselecteerd, worden de channels van de aanvaller opnieuw gekozen’, aldus Zohar.
Te klein om aan te vallen?
Zohar legt het verder uit: ‘Ik denk dat het netwerk nog niets in zwaar gebruik is. Een disruptie veroorzaakt nu nog niet genoeg schade. Daarmee impliceert de onderzoeker dat wanneer het Lightning Network groot genoeg is, het wel interessant wordt om aan te vallen.
Ook leidt een aanval niet direct tot een ‘vergoeding’ voor de aanvaller. Er is alleen een prikkel als Lightning in populariteit toeneemt.
Volgens Drouin is het niet per se een goedkope aanval om uit te voeren:’ aanvallers moeten diverse channels openen en fondsen erin opslaan. Zodra een channel sluit, moet men onchain fees gaan betalen zodra een betaling is bevroren en geannuleerd is.’
Volgens Zohar zijn de kosten echter wel te overzien. ‘Je hebt 20 nieuwe channels nodig om 80% van alle transacties aan te vallen. Ik schat de totale kosten op circa $2.000’.
Hoe de aanval te stoppen?
Volgens Lightning developers is dit een serieuze optie voor een aanval. ‘Het is iets wat lastig over te praten is omdat we het routesysteem in LND nog steeds aan het ontwikkelen zijn., aldus Alex Bosworth, infrastructure lead bij Lightning Labs.
LND is een implementatie van het Lightning network uit de koker van Lightning Labs. Bosworth laat doorschemeren dat veranderingen er snel aankomen en dat een nieuwe versie van LND afgelopen week is gelanceerd.
Daarin zijn ‘grote veranderingen’ opgenomen in de routing.
[penci_blockquote style=”style-3″ align=”none” author=”Alex Bosworth”]’Ik durf niet te beweren dat er een oplossing is die definitief een einde kan maken aan aanvallen om betalingen te manipuleren. Dit is een peer-to-peer open source systeem en ontwerp, dus iedereen kan meedoen en aan routing doen of niet.'[/penci_blockquote]
Veranderingen
De lightning code verandert razendsnel en er komen nog veel wijzigingen aan. Volgens de ontwikkelaars is een aanval daarna een stuk ingewikkelder.
Drouin zegt dat er op termijn meer protocollen worden ontwikkeld om vervelende nodes te straffen. Dit soort aanvallen zullen dan snel de kop in kunnen worden gedrukt.
Daarnaast kan de gebruiker ook kiezen voor een iets duurder, maar vertrouwde weg.
[penci_blockquote style=”style-3″ align=”none” author=”Drouin”]”We moeten niet alleen kijken naar de goedkoopste route, maar ook naar oudere channels. Op deze manier moet een aanvaller zich langer goed gedragen voordat hij een aanval kan uitvoeren. “[/penci_blockquote]