写在前面:本周的比特币技术周报,主要关注的是影响硬件钱包的费用超付攻击(
Feeoverpaymentattack)问题,而Trezor、Ledger等硬件钱包因此升级固件后而引发兼容性问题,对于这些问题,开发者们提出了一些解决方案,但对于硬件钱包面临的两次花费攻击问题,目前依旧没有好的解决办法。此外,关于闪电网络通道的安全性,上周开发者还提出了通过日蚀攻击的方法来窃取通道资金,针对这一问题,研究者认为根本性的解决方案是提高主链对日蚀攻击的抵抗能力。而在最后,我们还会关注上周当中发生的比特币软件基础设施的一些重大更新。
(图片来自:tuchong.com)
一、费用超付攻击与硬件钱包的兼容问题
如果你的软件或流程允许你使用硬件钱包来花费隔离见证输入,请检查你的系统是否与钱包的最新固件更新保持兼容。例如,Trezor的最新固件,要求升级与其连接的软件,以继续处理隔离见证输入;Ledger的最新固件,将在处理从未更新软件接收到的隔离见证输入时发出警告;其他的硬件钱包可能会在未来发布类似的更新;请与硬件钱包制造商联系,以获取相关计划的更多信息。有关此更改的原因,请看如下关于“费用超付攻击”的解释:
比特币全网未确认交易笔数达6.65万笔:金色财经消息,据欧科云链OKLink链上数据显示,比特币24h链上活跃地址数逾97.47万,环比下降16.35%;链上交易量近73.58万BTC,环比上升44.23%。
截至上午10时,比特币全网难度为20.61T,全网算力为152.52EH/s,较前日上升2.68EH/s,未确认交易数达6.65万笔。[2021/1/12 15:56:51]
比特币交易支付的费用,是交易所花费的UTXO金额,与其创建的UTXO金额之间的差额。交易显式地说明了它们创建的UTXO数量,但它们花费的UTXO数量,只能通过查看创建这些UTXO的先前交易来找到。支出交易只承诺txid和它想要花费的UTXO的位置,这需要其他想要计算费用的软件来查找每个UTXO的先前交易,或维护一个已验证UTXO数据的数据库。
由于硬件钱包不维护UTXO集,因此它们确定使用遗留UTXO交易所支付费用金额的唯一可靠方法,是获取每个遗留UTXO先前交易的副本,哈希前一笔交易以确保其txid与UTXO引用匹配,并使用现在已验证的UTXO金额执行费用计算。在最坏的情况下,遗留交易几乎可以大到1MB,并且一笔花费交易可能引用数千笔以前的交易,因此金额验证可能需要资源受限的硬件钱包处理千兆字节的数据。
而BIP143segwitv0中所做的几个改进之一,是通过让签名commit它们所花费的UTXO数量来消除这个负担。这意味着,任何承诺金额不正确的签名,都将是无效的,包括BitcoinCore和硬件钱包的开发者都认为,这将允许签名者安全地接受来自不受信任软件的金额。
彭博社:比特币目前看起来不是避险资产:根据彭博社编制的综合定价数据,比特币下跌32%,跌至3915美元,是自2019年3月以来的最低水平。过去两天的跌幅达50%,是有史以来最大跌幅。追踪一篮子数字资产的彭博银河加密指数(Bloomberg Galaxy Crypto Index)在两个交易日内下滑47%,创下2017年8月以来的历史新低。包括Ether、XRP、Litecoin等在内的加密货币全线下跌至少20%。在当前全球市场崩溃的情况下,比特币被证明不是避险资产。[2020/3/13]
不幸的是,事实证明签署单个UTXO的金额是不够的。2017年,GregSanders描述了一种攻击,它可以诱用户大幅超额支付交易费用。首先,攻击者将控制与硬件钱包对接的桌面或移动软件,并等待用户启动付款。受破坏的软件会创建所请求交易的两种变体,每个变体都要花费相同的两个隔离见证UTXO,这些UTXO受用户连接的硬件钱包控制。在第一笔交易中,受损的软件低估了其中一个UTXO的花费。这将导致硬件钱包以相同的低估金额低估交易费用。在第二笔交易中,受损的软件低估了第二个UTXO的数量,这将导致硬件钱包也低估了第二笔交易的费用。
受损的软件将第一笔交易发送到硬件钱包。用户检查金额、接收者地址以及计算过的交易费用。用户授权签名,签名的交易返回到受损的软件。第一笔交易在BIP143下无效,因为它的一个签名提交了不正确的UTXO量。受损的软件随后声称,有一个小问题阻止了交易的广播,并告知用户他们需要重新签署交易,但软件不会重新发送第一笔交易,而是发送第二笔交易。根据硬件钱包显示的信息,这第二笔交易也是BIP143无效的,因为它的一个签名提交了错误的金额。然而,这两笔交易中的每一笔,也都有一个有效的签名,受损软件能够使用这两个有效的签名合成一笔有效的交易,从而超额支付其费用。
大摩:将元宇宙概念股Roblox评级从平配下调至减持:金色财经报道,摩根士丹利分析师近日发布研究报告,将元宇宙概念股Roblox(NYSE:RBLX)评级从平配下调至减持,并将目标价从27.5美元下调至24美元,理由是下半年增长放缓,短期内广告的上升空间很小。分析师强调,Roblox去年12月的用户活跃度报告强于预期,提振股价今年迄今上涨了28%,而这一升幅意味着2023年上半年可望重新加速增长的预期现在已经完全消化了。
摩根士丹利称现在只看该公司前景喜忧参半,并指出从2023年5月开始,竞争实质上会变得更加激烈,我们预计2023年第三季度开始将同比大幅放缓。分析师提到了广告收益前景,他们指出虽然市场仍然专注广告作为关键的增长动力......惟我们预计在短期内促进作用缓慢,财务影响也有限。
综合上述因素,摩根士丹利认为Roblox股票的风险回报比已转为负面。[2023/1/20 11:23:21]
最坏的情况下,
攻击提示用户对控制n个UTXO的钱包进行n次签名,并导致将钱包的所有资金用于支付除合法支付金额以外的费用。
与Sander在2017年所描述的其它攻击类似,此攻击仅影响无状态签名者,这些签名者依赖于外部系统来告知他们所控制的UTXO。而跟踪接收到的UTXO数量的网络钱包,不会签署不正确的UTXO数量,因此不会受到此类攻击的影响。当然,网络钱包也容易受到其他类型的攻击,这也是硬件钱包可为用户增强资产安全性的原因。
动态 | 国内出现日文勒索邮件 黑客PS用户裸照敲诈比特币:据一本区块链消息,近几个月,一封日文比特币勒索邮件,在国内肆虐。勒索者称,已经获得勒索对象的邮箱密码、网页浏览记录甚至“裸照”,以此要挟后者支付比特币“封口费”。黑客的勒索手段并不高明,但仍有人上当受。记者收集到的信息显示,收到该勒索邮件的受害者,基本覆盖国内用户的主流邮箱,包括QQ邮箱、163邮箱、126邮箱等。网络安全工程师张宏文认为,黑客获得账户密码的手段,大概率来自于黑客圈子内常见的“数据包”。[2019/3/6]
上周,Trezor宣布SaleemRashid在三个月前重新发现了这个漏洞,作为回应,Trezor已更新了固件,但破坏了直接或通过HWI与Trezor设备连接的多个钱包的兼容性。如果钱包有以前交易的完整副本或能够获得这些副本,恢复兼容性应该只是更新钱包代码的问题。而在其他情况下,钱包可能无法存储以前支付钱包的交易的完整副本,这可能需要重新设计钱包以存储该数据,并且需要重新扫描过去的钱包交易的区块链。创建或更新部分签名比特币交易软件需要升级,以便将以前交易的完整副本包含到PSBT中。对于PSBT存储在大小受限制媒介的情况,数据大小增加的问题,可能需要放弃该协议,或切换到容量更大的媒介。
Ledger也做了类似的修改,但他们在文章中提到,他们仅在没有完整拷贝先前交易的情况下使用隔离见证UTXO时,才会显示警告。尽管要求以前的交易,可以最大限度地提高安全性以抵御该攻击,但也存在理由允许硬件钱包有选择地继续使用隔离见证签名UTXO值,而不是破坏现有的软件并在传统类型的值验证上花费额外的资源。
韩国政府或考虑允许上线比特币期货:据韩国Aju新闻报道,韩国政府正在考虑允许监管金融机构上线比特币期货。报道称,比特币期货将使市场稳定,以防止形成溢价。去年美国的CBOE(芝期所)和CME(芝商所)均在12月推出了比特币期货。[2018/1/19]
这种攻击在3年前就被开发者们所知道了:Sanders在大约三年前公开描述了这种攻击,他在开发者邮件列表、BIP等其它讨论中都有谈及,其他人也都提起过这种攻击,但在很多人看来,这种攻击很难进行,并且影响也较小,然后获得对硬件钱包的软件控制器访问权限的攻击者,更可能会执行不同的攻击,该攻击会直接向攻击者付款而不是进行超付费用攻击。
双重签名也可能导致花费两次:攻击取决于使用受损软件,让硬件钱包用户授权两笔在用户看来完全相同的,但稍有不同的交易。然而,同一个受损的软件可以向用户显示两笔完全不同的交易,它们看起来完全相同,从而导致向同一个接收者支付两次费用。从用户的角度来看,这两种攻击都是不可区分的,但是针对费用超付攻击的修复方法,并不能解决两次花费攻击的问题。
多重签名设置可能需要多个折衷方案:为了使用多个硬件钱包对多重签名保护的资金进行攻击,需要满足最小阈值的每个签名者都需被诱来签署相同的两个交易变体。对于包含在线钱包的情况,该钱包知道其所签名的UTXO的价值,只有当该在线钱包也受到攻击时,攻击才起作用。
解决这种攻击问题的一个长期解决方案,是更改交易摘要,以便每个签名提交该交易中使用的所有UTXO的值。如果受损软件谎报关于任何UTXO的数额,这将使签名无效。
这是JohnsonLau在2018年提出的解决方案,其公开草案已被纳入taproot的BIP341规范中。如果采用了taproot,那么对于像硬件钱包这样的无状态签名者来说,在不评估以前交易的情况下为taprootUTXO签名应该会更安全。不幸的是,这仍然无法修复两次花费攻击,这是大多数硬件钱包的无状态设计所存在的一个问题,其阻止了它们在内部跟踪自己的交易历史。
二、针对闪电网络的时间膨胀攻击
GlebNaumenko和AntoineRiard在比特币开发者邮件列表中发布了他们撰写的论文的摘要,其描述了如何通过日蚀攻击从闪电网络通道中窃取资金。这篇研究论文扩展了Riard在第77期周报中所描述的分析。简而言之,攻击者可以控制LN节点与比特币P2P网络的所有连接,并延迟向受害者转发新区块的通知。在受害者对区块链的看法,远远落后于公众的共识看法之后,攻击者会在过时的状态下关闭与受害者的通道,日蚀攻击用于防止受害者看到关闭的交易,直到争议期结束,而攻击者则将其非法收益提取到完全由其控制的地址。
这篇文章所描述的攻击方式,可以在两小时内从轻LN客户端窃取用户的资金。由于当前只有很少的服务器和节点可以向轻量级LN客户端提供数据,因此,攻击者可能很容易执行攻击。而对于全节点支持的LN节点而言,攻击需要花费更长的时间,并且可能需要创建更多的sybil。作者指出,这些攻击还可能适用于其他对时间敏感的合约协议。而解决该问题的通用型方法,是提高主链对日蚀攻击的抵抗能力,其中一个具体的改进是允许节点选择使用其他传输协议。
论文地址:https://arxiv.org/abs/2006.01418
摘要文章:https://www.8btc.com/article/605757
三、比特币软件基础设施更新
上周,最新版本的比特币客户端协议BitcoinCore0.20.0正式发布。此版本最显著的改进包括:RPC用户的默认bech32地址,为不同用户和应用配置RPC权限的能力,在GUI中生成PSBT的一些基本支持,以及在输出脚本描述符语言中添加了sortedmulti。为了消除错误、增强安全性并为将来的更改做准备,开发者还对代码进行了很多不太明显的改进。而一项备受瞩目的前瞻性变化,是增加了一个asmap配置设置,该设置允许使用单独下载的数据库来提高BitcoinCore对Erebus攻击的抵抗力。然而,正如发布声明中所指出的,“目前这项更新是高度实验性的,不清楚如何从中取得进展。收集和编译ASN数据非常重要,并且这会带来信任问题。”有关BitcoinCore0.20.0版本客户端的更多信息,请参见发布说明。
LND0.10.1-beta是LND闪电网络软件的一个新的测试版。这一版本软件并没有添加新功能,而是修复了几个漏洞。
除了这些之外,本周Eclair、LND以及BIP也发生了一些显著变化:
引入Eclair#1440之后,可使用API一次更新多个通道。最初旨在通过批量更新通道的中继费,来帮助节点运营商适应动态的链上收费市场,这一新增功能还可以实现批量关闭和强制关闭。
Eclair#1141增加了对option_static_remotekey通道的支持。在LN节点丢失数据的情况下,此功能允许通道交易方将当前余额支付给初始通道打开期间商定的未弱化密钥,从而关闭通道,并允许节点的钱包正常支出其资金。有关此功能的更多详细信息,请参见第67期周报。
LND#4251使其REST接口支持的非流式消息列表与gRPC接口的列表相等。以前,只有这些消息的一个子集可通过REST接口使用。该PR之后是LND#4141,它通过添加对WebSockets流响应的支持,使REST接口与gRPC接口完全对等。
BIP#920更新了taproot的BIP341规范,要求签名直接提交所有花费UTXO的scriptPubKeys。这使得硬件钱包更容易且安全地参与coinjoin和其他协作生成的交易。有关详细信息,请参见第97期周报。
特别感谢:
感谢PieterWuille帮助我们研究关于费用超付攻击的历史,也感谢AntoineRiard提供有关时间膨胀攻击论文的更多信息。如果文章中有任何错误或遗漏,欢迎指正。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。