比特币技术周报丨费用超付攻击与硬件钱包兼容问题_SRM:INMCOIN

写在前面:本周的比特币技术周报,主要关注的是影响硬件钱包的费用超付攻击(

Feeoverpaymentattack)问题,而Trezor、Ledger等硬件钱包因此升级固件后而引发兼容性问题,对于这些问题,开发者们提出了一些解决方案,但对于硬件钱包面临的两次花费攻击问题,目前依旧没有好的解决办法。此外,关于闪电网络通道的安全性,上周开发者还提出了通过日蚀攻击的方法来窃取通道资金,针对这一问题,研究者认为根本性的解决方案是提高主链对日蚀攻击的抵抗能力。而在最后,我们还会关注上周当中发生的比特币软件基础设施的一些重大更新。

(图片来自:tuchong.com)

一、费用超付攻击与硬件钱包的兼容问题

如果你的软件或流程允许你使用硬件钱包来花费隔离见证输入,请检查你的系统是否与钱包的最新固件更新保持兼容。例如,Trezor的最新固件,要求升级与其连接的软件,以继续处理隔离见证输入;Ledger的最新固件,将在处理从未更新软件接收到的隔离见证输入时发出警告;其他的硬件钱包可能会在未来发布类似的更新;请与硬件钱包制造商联系,以获取相关计划的更多信息。有关此更改的原因,请看如下关于“费用超付攻击”的解释:

比特币全网未确认交易53,591笔:金色财经报道,据btc.com数据显示,目前比特币全网未确认交易数为53,591笔,24小时交易速率为3.55 txs/s。目前全网难度为23.14 T,预测下次难度上调2.85%%至23.80 T,距离调整还剩8 天 9 小时。[2021/4/8 19:56:11]

比特币交易支付的费用,是交易所花费的UTXO金额,与其创建的UTXO金额之间的差额。交易显式地说明了它们创建的UTXO数量,但它们花费的UTXO数量,只能通过查看创建这些UTXO的先前交易来找到。支出交易只承诺txid和它想要花费的UTXO的位置,这需要其他想要计算费用的软件来查找每个UTXO的先前交易,或维护一个已验证UTXO数据的数据库。

由于硬件钱包不维护UTXO集,因此它们确定使用遗留UTXO交易所支付费用金额的唯一可靠方法,是获取每个遗留UTXO先前交易的副本,哈希前一笔交易以确保其txid与UTXO引用匹配,并使用现在已验证的UTXO金额执行费用计算。在最坏的情况下,遗留交易几乎可以大到1MB,并且一笔花费交易可能引用数千笔以前的交易,因此金额验证可能需要资源受限的硬件钱包处理千兆字节的数据。

而BIP143segwitv0中所做的几个改进之一,是通过让签名commit它们所花费的UTXO数量来消除这个负担。这意味着,任何承诺金额不正确的签名,都将是无效的,包括BitcoinCore和硬件钱包的开发者都认为,这将允许签名者安全地接受来自不受信任软件的金额。

美国弗莱森电讯公司CFO:目前尚无启用比特币支付的计划:美国弗莱森电讯公司(Verizon Communications)财务主管Matthew Ellis表示,目前尚无启用比特币支付的计划,并补充说这将给资产负债表带来风险,并会给业务带来更多复杂性。据悉,美国弗莱森电讯公司是全世界最大的印刷黄页和在线黄页信息提供商,并为世界五百强企业,其在全球45个国家经营电信及无线业务,公司在纽约证券交易所上市。(华尔街日报)[2021/2/12 19:34:12]

不幸的是,事实证明签署单个UTXO的金额是不够的。2017年,GregSanders描述了一种攻击,它可以诱用户大幅超额支付交易费用。首先,攻击者将控制与硬件钱包对接的桌面或移动软件,并等待用户启动付款。受破坏的软件会创建所请求交易的两种变体,每个变体都要花费相同的两个隔离见证UTXO,这些UTXO受用户连接的硬件钱包控制。在第一笔交易中,受损的软件低估了其中一个UTXO的花费。这将导致硬件钱包以相同的低估金额低估交易费用。在第二笔交易中,受损的软件低估了第二个UTXO的数量,这将导致硬件钱包也低估了第二笔交易的费用。

受损的软件将第一笔交易发送到硬件钱包。用户检查金额、接收者地址以及计算过的交易费用。用户授权签名,签名的交易返回到受损的软件。第一笔交易在BIP143下无效,因为它的一个签名提交了不正确的UTXO量。受损的软件随后声称,有一个小问题阻止了交易的广播,并告知用户他们需要重新签署交易,但软件不会重新发送第一笔交易,而是发送第二笔交易。根据硬件钱包显示的信息,这第二笔交易也是BIP143无效的,因为它的一个签名提交了错误的金额。然而,这两笔交易中的每一笔,也都有一个有效的签名,受损软件能够使用这两个有效的签名合成一笔有效的交易,从而超额支付其费用。

声音 | 比特币早期开发者:比特币价格将是最重要的问题 而不是交易量:据U.Today消息,比特币早期开发者Gavin Andresen对中本聪(Satoshi Nakamoto)区块链未来交易量和价格的看法提出了质疑。中本聪在比特币白皮书中称,他只能预测比特币(BTC)被采用的两种情况,“20年后,要么交易量非常大,要么没有”。 Gavin Andresen表示,比特币(Bitcoin)的价格将是最重要的问题,而不是交易量。他表示,这个价格可能真的很高。Andresen预测,比特币在2021 -2030年可能会非常昂贵,只有“黄金信徒”才把它当作一种“小众币”来使用。[2020/1/27]

最坏的情况下,

攻击提示用户对控制n个UTXO的钱包进行n次签名,并导致将钱包的所有资金用于支付除合法支付金额以外的费用。

与Sander在2017年所描述的其它攻击类似,此攻击仅影响无状态签名者,这些签名者依赖于外部系统来告知他们所控制的UTXO。而跟踪接收到的UTXO数量的网络钱包,不会签署不正确的UTXO数量,因此不会受到此类攻击的影响。当然,网络钱包也容易受到其他类型的攻击,这也是硬件钱包可为用户增强资产安全性的原因。

分析 | 比特币期货市场并不是导致比特币价格下跌的唯一因素:由于比特币交易所交易基金(ETF)仍在等待美国证券交易委员会的批准,衍生品已成为大多数比特币交易人士的首选产品。而备受期待的比特币衍生品平台Bakkt也终于在今年推出,此后交易量创下历史新高。由于谨慎的启动(过程),Bakkt一直推迟。根据CoinGecko的联合创始人Bobby Ong的说法,这种缓慢而稳定的做法在传统的交易所中比在本地加密交换中更值得注意。然而,Bakkt仍是衍生品竞争的一部分,但随着市场的增长,用户一直在猜测BTC的价格与其期货交易之间存在一种奇怪的反向关系。在人们期待已久的Bakkt于今年推出后、比特币非但没有大幅飙升反而大幅下跌之后,这一理论开始得到支持。在接受采访时,Bobby Ong对这个理论发表了评论,他说,“这可能是一个因素,但我认为还有其他原因。每次CME合约在伦敦时间下午4点到期时,通常都会出现剧烈的价格波动。”然而,随着12月3日Bakkt比特币期货的未平仓合约触及654万美元的历史高点,这种猜测很快就被平息了。(ambcrypto)[2019/12/30]

上周,Trezor宣布SaleemRashid在三个月前重新发现了这个漏洞,作为回应,Trezor已更新了固件,但破坏了直接或通过HWI与Trezor设备连接的多个钱包的兼容性。如果钱包有以前交易的完整副本或能够获得这些副本,恢复兼容性应该只是更新钱包代码的问题。而在其他情况下,钱包可能无法存储以前支付钱包的交易的完整副本,这可能需要重新设计钱包以存储该数据,并且需要重新扫描过去的钱包交易的区块链。创建或更新部分签名比特币交易软件需要升级,以便将以前交易的完整副本包含到PSBT中。对于PSBT存储在大小受限制媒介的情况,数据大小增加的问题,可能需要放弃该协议,或切换到容量更大的媒介。

新分叉项目BITE 结合比特币和以太坊:最新分叉来了,新分叉项目名称为BitEthereum(BITE),分叉时间为2017年12月21日00:00。BitEthereum的目标是打造一个轻量、快速、高并发的区块链支付网络和一个简单、可靠的资产发行平台。BitEthereum的区块生产时间3秒,平均确认时间1.5秒,每秒负载3000+。同时,BitEthereum也是一个资产发行平台,用户无需编程知识即可轻松发行自定义资产,能够避免ETH智能合约漏洞频发的问题。[2017/12/20]

Ledger也做了类似的修改,但他们在文章中提到,他们仅在没有完整拷贝先前交易的情况下使用隔离见证UTXO时,才会显示警告。尽管要求以前的交易,可以最大限度地提高安全性以抵御该攻击,但也存在理由允许硬件钱包有选择地继续使用隔离见证签名UTXO值,而不是破坏现有的软件并在传统类型的值验证上花费额外的资源。

这种攻击在3年前就被开发者们所知道了:Sanders在大约三年前公开描述了这种攻击,他在开发者邮件列表、BIP等其它讨论中都有谈及,其他人也都提起过这种攻击,但在很多人看来,这种攻击很难进行,并且影响也较小,然后获得对硬件钱包的软件控制器访问权限的攻击者,更可能会执行不同的攻击,该攻击会直接向攻击者付款而不是进行超付费用攻击。

双重签名也可能导致花费两次:攻击取决于使用受损软件,让硬件钱包用户授权两笔在用户看来完全相同的,但稍有不同的交易。然而,同一个受损的软件可以向用户显示两笔完全不同的交易,它们看起来完全相同,从而导致向同一个接收者支付两次费用。从用户的角度来看,这两种攻击都是不可区分的,但是针对费用超付攻击的修复方法,并不能解决两次花费攻击的问题。

多重签名设置可能需要多个折衷方案:为了使用多个硬件钱包对多重签名保护的资金进行攻击,需要满足最小阈值的每个签名者都需被诱来签署相同的两个交易变体。对于包含在线钱包的情况,该钱包知道其所签名的UTXO的价值,只有当该在线钱包也受到攻击时,攻击才起作用。

解决这种攻击问题的一个长期解决方案,是更改交易摘要,以便每个签名提交该交易中使用的所有UTXO的值。如果受损软件谎报关于任何UTXO的数额,这将使签名无效。

这是JohnsonLau在2018年提出的解决方案,其公开草案已被纳入taproot的BIP341规范中。如果采用了taproot,那么对于像硬件钱包这样的无状态签名者来说,在不评估以前交易的情况下为taprootUTXO签名应该会更安全。不幸的是,这仍然无法修复两次花费攻击,这是大多数硬件钱包的无状态设计所存在的一个问题,其阻止了它们在内部跟踪自己的交易历史。

二、针对闪电网络的时间膨胀攻击

GlebNaumenko和AntoineRiard在比特币开发者邮件列表中发布了他们撰写的论文的摘要,其描述了如何通过日蚀攻击从闪电网络通道中窃取资金。这篇研究论文扩展了Riard在第77期周报中所描述的分析。简而言之,攻击者可以控制LN节点与比特币P2P网络的所有连接,并延迟向受害者转发新区块的通知。在受害者对区块链的看法,远远落后于公众的共识看法之后,攻击者会在过时的状态下关闭与受害者的通道,日蚀攻击用于防止受害者看到关闭的交易,直到争议期结束,而攻击者则将其非法收益提取到完全由其控制的地址。

这篇文章所描述的攻击方式,可以在两小时内从轻LN客户端窃取用户的资金。由于当前只有很少的服务器和节点可以向轻量级LN客户端提供数据,因此,攻击者可能很容易执行攻击。而对于全节点支持的LN节点而言,攻击需要花费更长的时间,并且可能需要创建更多的sybil。作者指出,这些攻击还可能适用于其他对时间敏感的合约协议。而解决该问题的通用型方法,是提高主链对日蚀攻击的抵抗能力,其中一个具体的改进是允许节点选择使用其他传输协议。

论文地址:https://arxiv.org/abs/2006.01418

摘要文章:https://www.8btc.com/article/605757

三、比特币软件基础设施更新

上周,最新版本的比特币客户端协议BitcoinCore0.20.0正式发布。此版本最显著的改进包括:RPC用户的默认bech32地址,为不同用户和应用配置RPC权限的能力,在GUI中生成PSBT的一些基本支持,以及在输出脚本描述符语言中添加了sortedmulti。为了消除错误、增强安全性并为将来的更改做准备,开发者还对代码进行了很多不太明显的改进。而一项备受瞩目的前瞻性变化,是增加了一个asmap配置设置,该设置允许使用单独下载的数据库来提高BitcoinCore对Erebus攻击的抵抗力。然而,正如发布声明中所指出的,“目前这项更新是高度实验性的,不清楚如何从中取得进展。收集和编译ASN数据非常重要,并且这会带来信任问题。”有关BitcoinCore0.20.0版本客户端的更多信息,请参见发布说明。

LND0.10.1-beta是LND闪电网络软件的一个新的测试版。这一版本软件并没有添加新功能,而是修复了几个漏洞。

除了这些之外,本周Eclair、LND以及BIP也发生了一些显著变化:

引入Eclair#1440之后,可使用API一次更新多个通道。最初旨在通过批量更新通道的中继费,来帮助节点运营商适应动态的链上收费市场,这一新增功能还可以实现批量关闭和强制关闭。

Eclair#1141增加了对option_static_remotekey通道的支持。在LN节点丢失数据的情况下,此功能允许通道交易方将当前余额支付给初始通道打开期间商定的未弱化密钥,从而关闭通道,并允许节点的钱包正常支出其资金。有关此功能的更多详细信息,请参见第67期周报。

LND#4251使其REST接口支持的非流式消息列表与gRPC接口的列表相等。以前,只有这些消息的一个子集可通过REST接口使用。该PR之后是LND#4141,它通过添加对WebSockets流响应的支持,使REST接口与gRPC接口完全对等。

BIP#920更新了taproot的BIP341规范,要求签名直接提交所有花费UTXO的scriptPubKeys。这使得硬件钱包更容易且安全地参与coinjoin和其他协作生成的交易。有关详细信息,请参见第97期周报。

特别感谢:

感谢PieterWuille帮助我们研究关于费用超付攻击的历史,也感谢AntoineRiard提供有关时间膨胀攻击论文的更多信息。如果文章中有任何错误或遗漏,欢迎指正。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:0ms0-7:250ms