Investigadores descubren vulnerabilidades de privacidad en pagos de Bitcoin Lightning Network

Una nueva investigación advierte a los usuarios de criptomonedas que Lightning Network puede exponer información financiera de pagos con bitcoins que se consideran anónimos.

Una segunda capa financiera, Lightning Network fue propuesta en 2016 para mejorar la velocidad, la asequibilidad y la privacidad de los pagos con bitcoins. . En un intento por mejorar el anonimato, las transacciones se transmiten fuera de la cadena de bloques de bitcoin y se enrutan a través de comunicaciones encriptadas.

Pero según dos documentos académicos publicados en marzo y abril, los ataques cibernéticos relativamente sencillos podrían desequilibrar la red Lightning. Los autores del artículo de marzo también desvelaron vías y fiestas de pagos ocultos.

“La brecha entre las propiedades de privacidad potenciales de Lightning Network y las reales es grande. Tal como está diseñado en este momento, Lightning Network abre la puerta a varios ataques ", dijo Ania Piotrowska, investigadora de criptografía del University College London, que colaboró ​​con la Universidad de Illinois en Urbana-Champaign en el estudio de marzo.

Leer más: La red Lightning de Bitcoin está creciendo 'cada vez más centralizada', los investigadores encuentran

Los nodos, componentes básicos de la red Lightning, son puertas de enlace de software que intercambian bitcoin a través de canales de pago. Ambos equipos de investigación, el otro en la Universidad de Luxemburgo y la Universidad Noruega de Ciencia y Tecnología, realizaron ataques solo en canales públicos. Según un informe en enero del intercambio de criptomonedas BitMEX, el 72.2 por ciento de los canales de Lightning Network se anuncian públicamente, y el 27.8 por ciento se mantiene privado.

"A medida que Lightning Network gana popularidad, a menudo se promociona como un alternativa a bitcoin que no solo es más escalable sino también más privado ", dijo Piotrowska, quien también trabaja en el inicio de la infraestructura de privacidad de criptomonedas Nym Technologies . "Sentimos que era una pregunta de investigación interesante estudiar cuán privado es realmente el Relámpago".

Una serie de instituciones académicas y corporativas han asumido el desarrollo de la Red Lightning, desde la Iniciativa de Moneda Digital del Instituto Tecnológico de Massachusetts, hasta el fabricante de satélites bitcoin Blockstream, el grupo de ingeniería Lightning Labs y Square Crypto la unidad de criptomonedas de la compañía de tecnología financiera que cotiza en bolsa Square.

En diciembre, Bitfinex, un intercambio de criptomonedas de alto volumen, optó por permitir que los clientes intercambiaran bitcoins a través de Lightning Network.

Los investigadores estadounidenses y británicos, un equipo de siete, llevaron a cabo tres ataques a la Red Lightning durante los meses de diciembre, enero y febrero. Dos ataques tuvieron como objetivo la red de prueba y la red principal de Lightning Network para determinar los equilibrios.

Al reenviar pagos con hashes falsos, identificadores criptográficos únicos de transacciones, a canales abiertos con 132 nodos de red de prueba y seis de los 10 nodos de red principales más grandes, el primer ataque de saldo accedió a los saldos de 619 canales de red de prueba y 678 red principal canales.

El spam de pagos falsificados se detuvo cuando desaparecieron los mensajes de error, una señal de que las cantidades reales de los canales se habían igualado.

Leer más: Las tiendas de cannabis están utilizando la aplicación Lightning de Zap durante la crisis de efectivo de Coronavirus

Al comienzo del primer ataque de equilibrio, se probaron 4.585 canales de la red de prueba y 1.293 canales de la red principal de 3.035 nodos de la red de prueba que compartían 8.665 canales y 6.107 nodos de la red principal que compartían 35.069 canales.

El segundo ataque de equilibrio también descubrió los saldos de forma aleatoria canales de red principales seleccionados en un proceso de eliminación con mensajes de error. Sin embargo, los hashes de pago se enrutaron a través de dos canales que los investigadores abrieron con dos canales intermedios que se ubicaban entre un canal inicial y uno final.

Al unir los cambios en los saldos aprendidos de los dos primeros ataques, el tercer ataque construyó instantáneas de Lightning Red a diferentes intervalos de tiempo para detectar movimientos de pago y sus remitentes, destinatarios y cantidades.

"Identificar al remitente y al destinatario significa que los identificamos de acuerdo con sus claves públicas y cualquier otra información vinculada al nodo", como una IP dirección, una cadena numérica que etiqueta la ubicación de un dispositivo electrónico que se conecta a internet, dijo. Las claves públicas se entregan libremente entre las partes en las interacciones de pago; las claves privadas que están vigiladas de cerca y que dan acceso a la propiedad de los fondos no fueron extraídas.

Piotrowska señaló que, debido a preocupaciones éticas, el tercer ataque se realizó en una simulación de la Red Lightning.

Mariusz Nowostawski, un científico informático de la Universidad de Ciencia y Tecnología de Noruega y uno de los cuatro autores del artículo de abril, dijo que el primer ataque de equilibrio del documento de marzo es un derivado de "un método más antiguo y conocido" y que el segundo ataque de equilibrio, mientras que nuevo, se limita a ataques a pequeña escala.

El segundo ataque de equilibrio "requiere abrir dos canales para cada canal que se sondea, lo cual es extremadamente costoso ya que esos canales de apertura y cierre deben estar en cadena", dijo Nowostawski. "Y requiere que el equilibrio en uno de los canales se coloque en el lado del nodo que se está sondeando", arriesgando los fondos del atacante.

Lea más: Lightning resuelve el problema de velocidad de Bitcoin, pero tenga cuidado con los estafadores [19659024] Para evitar la pérdida de fondos, un servicio de liquidez externo, similar al proveedor de liquidez Bitrefill utilizado en el ataque en papel de marzo, necesita financiar el canal. Aun así, el ataque de equilibrio cae si un canal se niega a aceptar la apertura de un canal, dijo Nowostawski.

El ataque de equilibrio estudiado por el luxemburgués y los investigadores noruegos no gasta recursos ni depende de canales intermedios, dijo Nowostawski. El ataque también es un algoritmo de lectura de mensajes de error que sondea los canales, pero supuestamente en una escala mayor y más rápida que reduce las nuevas aperturas de canales, el tiempo de bloqueo de fondos y el contacto con la cadena de bloques de bitcoin.

Benedikt Bünz, una Universidad de Stanford El investigador del Grupo de Criptografía Aplicada que se asoció con la empresa de rastreo de criptomonedas Chainalysis en estudios de investigación de blockchain, calificó los documentos importantes para la privacidad en las criptomonedas.

"Para una privacidad fuerte y buena, se necesitan soluciones criptográficas como pruebas de conocimiento cero y transacciones confidenciales, "Dijo Bünz. Las pruebas de conocimiento cero, una estructura criptográfica, podrían facilitar los pagos que no dejan rastros de información con otra parte.

Lea el documento de marzo a continuación: