آیا مشکلات امنیتی لایتنینگ را تهدید میکند؟ کنارهگیری آنتوان ریارد و هشدار او در مورد امنیت شبکه
آنتوان ریارد (Antoine Riard)، توسعهدهنده معروف دنیای کریپتو، ضمن اعلام خروج از پروژه لایتنینگ، از یک خطر امنیتی شدید در این شبکه پردهبرداری کرد. این افشاگری موجی از شوک را در جامعه ارزهای دیجیتال ایجاد کرده و بحثهای زیادی را در مورد ایمنی این شبکه برانگیخته است. طبق گفتههای این توسعهدهنده، شبکه بیت کوین با معضل سختی روبهرو شده است زیرا نوع جدیدی از حملات چرخه جایگزین (Replacement Cycling Attacks) شبکه لایتنینگ را تهدید میکند.
به نقل از کوین تلگراف و کوین گیپ و طبق گفتههای ریارد، آسیبپذیری جدید شبکه لایتنینگ «حمله پارازیت رله تراکنش» نامیده میشود و به مهاجمان اجازه میدهد تا با توسعه زمان هش قفل شده قراردادها (HTLC) با کارمزد بالاتر نسبت به HTLC نود اصلی، به کانالهای پرداخت شبکه لایتنینگ حمله کنند. این کار در نهایت باعث میشود کاربران نتوانند BTC را از شبکه لایتنینگ برداشت کرده و به بلاکچین اصلی بیت کوین ارسال کنند.
شدت این حمله ناشی از توانایی آن در بیرون راندن تراکنشهای درست از ممپولهای بیت کوین است. با انجام این کار، مهاجم میتواند درخواست بسته شدن کانال را منقضی کند و کاربران لایتنینگ نتوانند فرآیند بستن کانال خود را کامل کنند.
شبکه لایتنینگ راهکار لایه دومی است که روی بلاکچین بیت کوین ساخته شده تا مقیاسپذیری و کارایی تراکنشهای بیت کوین را با فعال کردن تراکنشهای همتابههمتا و آفچین افزایش دهد. کاربران با استفاده از شبکه لایتنینگ میتوانند کانالهای پرداختی را راهاندازی کرده، چندین تراکنش را به صورت آفچین انجام دهند و نتیجه نهایی را در بلاکچین بیت کوین تسویه کنند.
با این حال حمله چرخه جایگزین، این کانالهای پرداخت را هدف قرار میدهد و به مهاجم اجازه میدهد با سوءاستفاده از ناهماهنگیها و تضاد بین ممپولهای منفرد، سرمایه معاملهگران را سرقت کند. ریارد تاکید کرده است:
من فکر میکنم این حملات، شبکه لایتنینگ را در موقعیت بسیار خطرناکی قرار میدهد و به یک اصلاح و تغییر اساسی در شبکه اصلی بیت کوین نیاز دارد. برای مثال میتوان به یک تاریخچه فشرده از تراکنشهای لایتنینگ یا بعضی از بهروزرسانیهای اجماع اشاره کرد. بعضی از رویکردهای موجود میتوانند در مواجهه با حملات ساده موثر باشند، اما فکر نمیکنم جلوی حملات پیشرفته را بگیرند. برای اجرای چنین اصلاحاتی به حداکثر شفافیت و مشارکت کل جامعه نیاز داریم؛ چرا که باید نیازمندیهای پردازش نودهای کامل یا ساختار امنیتی اکوسیستم غیرمتمرکز بیت کوین و یکپارچگی آن را تغییر دهیم.
بنیانگذار اسلو میست (Slow Mist) نیز در توییتی به این حمله اشاره کرد و افزود:
این حمله چرخه جایگزین در شبکه لایتنینگ بسیار جالب است. تا حدودی شبیه حمله ساندویچی در MEV است که با حمله از دو طرف (جلو و پشت سر) برای استخراج وجوه به دام افتاده استفاده میکند.
با این حال، استفاده از آن آسان نیست و باید شرایط زیر رعایت شود:
- باز کردن دو کانال برای قربانی
- مسیریابی پرداخت از طریق یکی از این کانالها
- جایگزینی موفق HTLC-timeout تراکنش قربانی در بلوکهای Δ در این دو کانال
- بدون اینکه قربانی متوجه تراکنش HTLC pre-image شود
تا زمانی که این خطر برطرف نشده است، پروژههایی که از شبکه لایتنینگ استفاده میکنند، باید قبل از ایجاد کانالهایی برای اتصال به شرکای بالادستی و پاییندستی هوشیار باشند و بهتر است برای کاهش خطر به دام افتادن، کانالهای معتبر ایجاد کنند.
جزییات بیشتر هنوز نیاز به آزمایش و تایید دارند.
توسعهدهندگان لایتنینگ اخیرا با چالشهای زیادی مواجه شدهاند. از بین این چالشها برای مثال میتوان به انتقادات کاربران نسبت به پیچیدگی و تجربه کاربری ضعیف آن اشاره کرد. دادههای وب سایت دیفایلاما (DefiLlama) نشان میدهد از زمان راهاندازی شبکه لایتنینگ در سال ۲۰۱۸، این راهکار لایه دوم محبوبیت زیادی پیدا کرده و ارزش کل سرمایه قفلشده (TVL) آن به ۱۵۹.۵ میلیون دلار رسیده است. با این حال، این رقم در مقایسه با مارکت کپ ۵۸۷ میلیارد دلاری بیت کوین خیلی کم است.
گزارشهای وب سایت والوایر (WhaleWire) نیز نشان میدهد کاربردهای شبکه لایتنینگ نسبت به سال گذشته ۸۴٪ کاهش یافته و ظرفیت آن هم طی سه ماه گذشته ۱۵٪ کاهش یافته است. ریارد قصد دارد از این به بعد روی توسعه شبکه اصلی بیت کوین (Bitcoin Core) تمرکز کند، اما در مورد چالشهای اکوسیستم کریپتو گفته است:
از طرف دیگر باید درک کنیم که چرا شبکه لایتنینگ به چنین تغییراتی نیاز دارد و چگونه میتوانیم این تغییرات را طراحی کنیم. به همین خاطر شاید نیاز داشته باشیم حملات عملی و حیاتی را به صورت کامل به اکوسیستم عمومی «BTC ~ 5355» ارائه کنیم. دو راهی سختی است. شاید وقت آن رسیده که از استقرار پروتکل بیت کوین درس بزرگی بگیریم.
ادعای ریارد مبنی بر اینکه مشکلات مهم کد شبکه لایتنینگ به مهاجمان اجازه میدهد کنترل کامل این شبکه را در دست بگیرند، سوالات و نگرانیهای زیادی را در مورد امنیت و یکپارچگی آن ایجاد کرده است. شایان ذکر است شرکتهای بزرگی مثل تتر (Tether)، بیتفینکس (Bitfinex) و بلاکاستریم (BlockStream) از حامیان اصلی شبکه لایتنینگ هستند.
طبق آمار «IML»، در حال حاضر، شبکه لایتنینگ میتواند تراکنشهایی را که تنها شامل ۵٬۳۳۸ بیت کوین است، تسهیل کند که تنها ۰.۰۲۵٪ از کل عرضه بیتکوین را شامل میشود. این پیشرفت چشمگیر سوالاتی را در مورد استحکام و پایداری این شبکه ایجاد کرده است. این آمار منفی حیرت آور همراه با کاهش ظرفیت این پروتکل پرداخت لایه ۲ تا حدود ۱۵٪ در سه یا چند ماه گذشته تشدید شده است.