精通閃電網路

隱私保護支付系統的目標之一是對無關各方隱藏付款金額。 閃電網路在這方面是對第一層的改進。 雖然比特幣交易以明文廣播並且任何人都可以觀察到，但閃電網路付款只通過支付路徑上的幾個節點傳輸。 然而，中間節點確實看到付款金額，儘管這個付款金額可能不對應於實際的總付款金額（參見 多部分付款）。 這是在每一跳建立新的 HTLC 所必需的。 中間節點可以獲得付款金額不會構成直接威脅。 然而，_誠實但好奇_的中間節點可能將其用作更大攻擊的一部分。

攻擊者可能有興趣了解付款的發送者和/或接收者以揭示某些經濟關係。 這種隱私洩露可能損害抗審查性，因為中間節點可能審查來自或去往某些接收者或發送者的付款。 理想情況下，除了發送者和接收者之外，任何人都不應該能夠將發送者與接收者聯繫起來。

在以下章節中，我們將考慮兩種類型的對手：路徑外對手和路徑上對手。 路徑外對手試圖在不參與付款路由過程的情況下評估付款的發送者和接收者。 路徑上對手可以利用他們通過路由相關付款可能獲得的任何資訊。

首先，考慮_路徑外對手_。 在這種攻擊場景的第一步中，強大的路徑外對手通過探測（在後續章節中描述）推斷每個支付通道中的個別餘額，並在時間 t₁ 形成網路快照。為簡單起見，讓我們設 t₁ 等於 12:05。 然後它在稍後的某個時間 t₂ 再次探測網路，我們將其設為 12:10。然後攻擊者會比較 12:10 和 12:05 的快照，並使用兩個快照之間的差異通過查看已更改的路徑來推斷有關付款的資訊。 在最簡單的情況下，如果在 12:10 和 12:05 之間只發生了一筆付款，對手會觀察到餘額變化相同金額的單一路徑。 因此，對手幾乎了解了這筆付款的所有資訊：發送者、接收者和金額。 如果多條支付路徑重疊，對手需要應用啟發式方法來識別這種重疊並分離付款。

現在，我們將注意力轉向_路徑上對手_。 這樣的對手可能看起來很複雜。 然而，在 2020 年 6 月，研究人員注意到最中心的單一節點 觀察到接近 50% 的所有閃電網路付款，而四個最中心的節點 平均觀察到 72% 的付款。 這些發現強調了路徑上攻擊者模型的相關性。 儘管支付路徑中的中介只知道其後繼者和前驅者，但惡意或誠實但好奇的中介可能會利用幾種洩漏來推斷發送者和接收者。

路徑上對手可以觀察任何路由付款的金額以及時間鎖增量（參見 洋蔥路由）。 因此，對手可以從發送者或接收者的匿名集中排除任何容量低於路由金額的節點。 因此，我們觀察到隱私和付款金額之間的權衡。 通常，付款金額越大，匿名集越小。 我們注意到，這種洩漏可以通過多部分付款或大容量支付通道來最小化。 同樣，具有小時間鎖增量的支付通道可以從支付路徑中排除。 更準確地說，如果付款可能被鎖定的剩餘時間大於轉發節點願意接受的時間，則支付通道不能屬於付款。 這種洩漏可以通過遵循所謂的影子路由來消除。

路徑上對手可以利用的最微妙但最強大的洩漏之一是時序分析。 路徑上對手可以為每筆路由的付款保留日誌，以及節點回應 HTLC 請求所需的時間。 在開始攻擊之前，攻擊者通過向閃電網路中的每個節點發送請求來了解其延遲特性。 自然地，這可以幫助確定對手在支付路徑中的精確位置。 更重要的是，正如最近所展示的，攻擊者可以使用基於時間的估計器從一組可能的發送者和接收者中成功確定付款的發送者和接收者。

最後，重要的是要認識到可能存在未知或未研究的洩漏，這些洩漏可能有助於去匿名化嘗試。例如，因為不同的閃電錢包應用不同的路由演算法，即使知道應用的路由演算法也可以幫助排除某些節點成為付款的發送者和/或接收者。

閃電通道的餘額應該出於隱私和效率原因而被隱藏。 閃電節點只知道其相鄰通道的餘額。 協定沒有提供查詢遠端通道餘額的標準方式。

然而，攻擊者可以在_探測攻擊_中揭示遠端通道的餘額。 在資訊安全中，探測是指向目標系統發送請求並根據收到的回應對其私有狀態得出結論的技術。

閃電通道容易受到探測。 回想一下，標準的閃電付款從接收者建立隨機付款秘密並將其雜湊發送給發送者開始。 請注意，對於中間節點，所有雜湊看起來都是隨機的。 沒有辦法判斷雜湊是否對應於真正的秘密還是隨機生成的。

探測攻擊按以下方式進行。 假設攻擊者 Mallory 想要揭示 Alice 在 Alice 和 Bob 之間公開通道中的餘額。 假設該通道的總容量為 100 萬聰。 Alice 的餘額可能是從零到 100 萬聰之間的任何數值（準確地說，由於通道儲備金，估計會更緊一些，但為了簡單起見，我們在這裡不考慮它）。 Mallory 與 Alice 開設一個 100 萬聰的通道，並使用_隨機數_作為付款雜湊通過 Alice 向 Bob 發送 50 萬聰。 當然，這個數字不對應於任何已知的付款秘密。 因此，付款將失敗。 問題是：它究竟會如何失敗？

有兩種情況。 如果 Alice 在她與 Bob 的通道上有超過 50 萬聰，她會轉發付款。 Bob 解密付款洋蔥並意識到付款是給他的。 他查找他本地的付款秘密儲存並搜索與付款雜湊對應的原像，但沒有找到。 按照協定，Bob 向 Alice 返回「未知付款雜湊」錯誤，Alice 將其轉發給 Mallory。 因此，Mallory 知道如果付款雜湊是真實的，付款_本可以成功_。 因此，Mallory 可以將她對 Alice 餘額的估計從「零到 100 萬之間」更新為「50 萬到 100 萬之間」。 另一種情況發生在 Alice 的餘額低於 50 萬聰時。 在這種情況下，Alice 無法轉發付款並向 Mallory 返回「餘額不足」錯誤。 Mallory 將她的估計從「零到 100 萬之間」更新為「零到 50 萬之間」。

請注意，在任何情況下，Mallory 的估計在僅僅一次探測後就變得精確了兩倍！ 她可以繼續探測，選擇下一個探測金額使其將當前估計區間分成兩半。 這種眾所周知的搜索技術稱為_二分搜索_。 使用二分搜索，探測次數與所需精度成_對數_關係。 例如，要在 100 萬聰的通道中精確到單個聰獲得 Alice 的餘額，Mallory 只需執行 log₂ (1,000,000) ≈ 20 次探測。 如果一次探測需要 3 秒，一個通道可以在大約一分鐘內被精確探測！

通道探測可以變得更加高效。 在最簡單的變體中，Mallory 直接連接到她想要探測的通道。 是否可以在不與其端點之一開設通道的情況下探測通道？ 想像一下，Mallory 現在想要探測 Bob 和 Charlie 之間的通道，但不想開設另一個通道，這需要支付鏈上費用並等待資金交易的確認。 相反，Mallory 重複使用她現有的到 Alice 的通道，並沿著路線 Mallory → Alice → Bob → Charlie 發送探測。 Mallory 可以像以前一樣解釋「未知付款雜湊」錯誤：探測已到達目的地；因此，路線上的所有通道都有足夠的餘額來轉發它。 但是，如果 Mallory 收到「餘額不足」錯誤怎麼辦？ 這是否意味著 Alice 和 Bob 之間或 Bob 和 Charlie 之間的餘額不足？

在當前的閃電協定中，錯誤訊息不僅報告發生了_哪個_錯誤，還報告它發生在_哪裡_。 因此，通過更仔細的錯誤處理，Mallory 現在知道哪個通道失敗了。 如果這是目標通道，她更新她的估計；如果不是，她選擇另一條到目標通道的路線。 除了目標通道之外，她甚至獲得了有關中間通道餘額的_額外_資訊。

探測攻擊可以進一步用於連結發送者和接收者，如前一節所述。

此時，你可能會問：為什麼閃電網路在保護其使用者的私有資料方面做得如此糟糕？ 不向發送者揭示付款為什麼以及在哪裡失敗不是更好嗎？ 確實，這可能是一種潛在的對策，但它有顯著的缺點。 閃電網路必須在隱私和效率之間取得仔細的平衡。 請記住，常規節點不知道遠端通道中的餘額分佈。 因此，付款可能（而且經常）因為中間跳的餘額不足而失敗。 錯誤訊息允許發送者在構建另一條路線時排除失敗的通道。 一個流行的閃電錢包甚至在內部執行探測以檢查構建的路線是否真的可以處理付款。

還有其他潛在的對策來防止通道探測。 首先，攻擊者很難針對未公告的通道。 其次，實作即時（JIT）路由的節點可能不太容易受到攻擊。 最後，由於多部分付款使容量不足的問題不那麼嚴重，協定開發者可能會考慮隱藏一些錯誤細節而不損害效率。

當資源公開可用時，攻擊者可能會嘗試通過執行阻斷服務（DoS）攻擊使該資源不可用。 通常，這是通過攻擊者用請求轟炸資源來實現的，這些請求與合法查詢無法區分。 這些攻擊很少導致目標遭受經濟損失，除了其服務中斷的機會成本，僅僅是為了使目標感到困擾。

典型的 DoS 攻擊緩解措施需要對請求進行身份驗證，以將合法使用者與惡意使用者分開。這些緩解措施對常規使用者產生的成本微不足道，但對於大規模發起請求的攻擊者來說將充當足夠的威懾。 反阻斷服務措施在網際網路上隨處可見——網站應用速率限制以確保沒有單一使用者可以消耗其伺服器的所有注意力，電影評論網站需要登入身份驗證以阻止憤怒的 r/prequelmemes（Reddit 群組）成員，資料服務銷售 API 金鑰以限制查詢數量。

閃電節點使用非對稱承諾交易更新其共享狀態，在這些交易上添加和移除 HTLC 以促進付款。 每一方在承諾交易中一次最多限制為 483 個 HTLC。 通道阻塞攻擊允許攻擊者通過目標通道路由 483 筆付款並保持它們直到超時來使通道無法使用。

應該注意的是，規範中選擇這個限制是為了確保所有 HTLC 都可以在 單一懲罰交易中被清掃。 雖然這個限制_可能_會增加，但交易仍然受到區塊大小的限制，因此可用插槽的數量可能仍然有限。

通道流動性鎖定攻擊與通道阻塞攻擊類似，因為它通過通道路由付款並保持它們以使通道無法使用。 這種攻擊不是鎖定通道承諾上的插槽，而是通過目標通道路由大額 HTLC，消耗通道的所有可用頻寬。 這種攻擊的資本承諾高於承諾阻塞攻擊，因為攻擊節點需要更多資金來通過目標路由失敗的付款。

閃電網路區塊鏈互動永久反映在比特幣實體圖中。 即使通道關閉，攻擊者也可以觀察哪個地址為通道提供了資金，以及關閉後代幣花費到哪裡。 對於這個分析，讓我們考慮四個獨立的實體。 開設通道導致從_來源實體_到_資金實體_的貨幣流動；關閉通道導致從_結算實體_到_目標實體_的流動。

在 2021 年初，https://arxiv.org/pdf/2007.00764.pdf[Romiti 等人]確定了四種允許聚類這些實體的啟發式方法。 其中兩種捕獲某些洩漏的資金行為，兩種描述洩漏的結算行為。

值得指出的是，這些啟發式方法可能產生誤報。 例如，如果多個不相關使用者的交易在 CoinJoin 交易中合併，那麼星形或代理啟發式可能產生誤報。 如果使用者從 CoinJoin 交易為支付通道提供資金，這可能發生。 另一個潛在的誤報來源可能是，如果聚類的地址由服務（例如交易所）控制或代表其使用者（託管錢包）控制，則實體可能代表多個使用者。 然而，這些誤報可以有效地被過濾掉。

閃電節點公告別名，例如 LNBig.com。 別名可以提高系統的可用性。 然而，使用者傾向於為自己的不同節點使用相似的別名。 例如，LNBig.com Billing 很可能與別名為 LNBig.com 的節點由同一使用者擁有。 基於這一觀察，可以通過應用節點別名來聚類閃電節點。 具體來說，如果閃電節點的別名相對於某些字串相似度指標相似，則將它們聚類到單一地址。

另一種聚類閃電節點的方法是應用其 IP 或 Tor 地址。 如果相同的 IP 或 Tor 地址對應於不同的閃電節點，這些節點很可能由同一使用者控制。

將閃電節點與比特幣實體關聯是一種嚴重的隱私洩露，由於大多數閃電節點公開暴露其 IP 地址而加劇。 通常，IP 地址可以被視為使用者的唯一識別碼。 兩種廣泛觀察到的行為模式揭示了閃電節點和比特幣實體之間的連結：

如果使用者擁有多個未聚類的地址或使用多個錢包與閃電網路互動，這些跨層連結演算法可能會被挫敗。

比特幣實體可能被去匿名化的事實說明了同時考慮兩層隱私而不是一次一層是多麼重要。

人們可能預期閃電網路是一個隨機圖，其中邊在節點之間隨機形成。 如果是這種情況，那麼閃電網路的度分佈將遵循高斯正態分佈。 特別是，大多數節點將具有大致相同的度，我們不會期望具有異常大度的節點。 這是因為正態分佈對於分佈平均值周圍區間之外的值呈指數級下降。 隨機圖的描繪（正如我們在 截至 2021 年 7 月閃電網路部分的視覺化 中看到的）看起來像網狀網路拓撲。 它看起來是去中心化和非層級的：每個節點似乎具有同等的重要性。 此外，隨機圖具有較大的直徑。 特別是，在這樣的圖中路由是具有挑戰性的，因為任意兩個節點之間的最短路徑相當長。

然而，形成鮮明對比的是，閃電圖完全不同。

目前，閃電節點難以引導入站流動性。雖然有一些付費解決方案來獲取入站流動性，如交換服務、通道市場和來自已知中心的付費通道開設服務，但許多節點將樂於接受任何看起來合法的通道開設請求以增加其入站流動性。

回到比特幣的背景，這可以與 Bitcoin Core 對待其入站和出站連接的方式進行比較，出於擔心節點可能被日蝕攻擊而區別對待。 如果一個節點向你的比特幣節點開設入站連接，你無法知道發起者是隨機選擇你還是有惡意意圖地專門針對你的節點。 你的出站連接不需要如此懷疑，因為節點要麼是從許多潛在對等節點的池中隨機選擇的，要麼你是故意手動連接到該對等節點的。

閃電網路也可以這樣說。 當你開設通道時，這是有意為之的，但當遠端方向你的節點開設通道時，你無法知道這個通道是否會被用來攻擊你的節點。 正如幾篇論文所指出的，啟動節點並向目標開設通道的相對較低成本是使攻擊容易的重要因素之一。 如果你接受入站通道，明智的做法是對你接受入站通道的節點設定一些限制。 許多實作暴露了通道接受掛鉤，允許你根據自己的偏好定制通道接受策略。

接受和拒絕通道的問題是一個哲學問題。 如果我們最終得到一個新節點無法參與因為無法開設任何通道的閃電網路會怎樣？ 我們的建議不是設定一個你將接受通道的「超級中心」的排他列表，而是以適合你風險偏好的方式接受通道。

一些潛在的策略是：