이 글은 비트코인 분야의 독학 교육자이자 기술 중심 비트코인 팟캐스트 진행자인 신오비의 의견 기고입니다.
(안투안 리아르와 글렙 나우멘코의 최근 연구가 이 글의 기초가 되었습니다.)
채널 재밍은 라이트닝 네트워크에서 결제의 성공을 방해할 수 있는 주요 문제 중 하나입니다. 이는 네트워크가 실제로 메인넷에서 활성화되어 단 하나의 사토시도 처리하기 전부터 개발자들 사이에서 이해되어 온 널리 알려진 문제입니다.
지금까지 이 문제는 네트워크에 부정적인 영향을 미치지 않았지만, 그 사실을 고려할 때 네트워크가 여전히 전체적으로 상대적으로 작다는 점을 염두에 두는 것이 중요합니다. 상인 프로세서와 몇몇 거래소, 많은 라이트닝/비트코인 네이티브 서비스와 비즈니스들이 이를 지원하기 시작했지만, 실제로는 그리 많지 않습니다. 네트워크는 여전히 비트코인 사용자들에 의해 주로 사용되는 작은 것이며, 이는 전 세계적으로 매우 큰 비율이 아닙니다.
더 나아가, 상업 환경에서 비트코인을 정기적으로 사용하고 소비하는 비트코인 사용자들의 수는 이미 작은 그룹의 더 작은 하위 집합입니다. 가능한 공격이 현재 발생하지 않는다고 해서 네트워크가 더 큰 규모로 성장할 때 계속해서 발생하지 않을 것이라고 가정해서는 안 됩니다. 네트워크가 커질수록 경쟁적이고 적대적인 환경이 될 것입니다.
채널 재밍이란 무엇인가?
채널 재밍의 기본 개념은 자신이 재밍하고자 하는 라이트닝 채널을 통해 결제를 라우팅한 다음, 해시된 타임락 계약(HTLC)에서 결제 해시의 프리이미지를 공개하지 않아 결제를 완료하지 않는 것입니다. 피해자는 환불을 위한 타임락이 만료될 때까지 자신의 채널에서 HTLC를 제거할 수 없으며, 프리이미지가 제거된 후 공개되면 자신이 owed하는 돈에 대한 주장을 집행할 방법이 없기 때문입니다. 이렇게 채널을 완전히 재밍하면 모든 악의적인 결제의 타임락이 만료될 때까지 해당 채널은 어떤 결제도 라우팅할 수 없게 됩니다.
여기서 공격을 수행하기 위해 사용할 수 있는 두 가지 전략이 있습니다. 채널에서 라우팅 가능한 금액을 재밍하려고 시도할 수도 있고, 채널의 개별 HTLC 슬롯을 모두 재밍하려고 시도할 수도 있습니다. 라이트닝 채널은 각 방향으로 483개의 대기 중인 HTLC만 가질 수 있습니다. 이는 비트코인 거래의 최대 크기 제한 때문입니다. 채널에서 방향당 483개 이상의 HTLC를 추가하면 필요할 경우 채널을 닫기 위한 거래가 너무 커서 네트워크에 제출할 수 없습니다. 이렇게 되면 채널의 모든 것이 체인에서 집행할 수 없게 됩니다.
따라서 공격자는 채널의 모든 유동성을 잠그거나 채널의 모든 HTLC 슬롯을 잠그려고 시도할 수 있습니다. 두 전략 모두 채널을 사용할 수 없게 만들지만, 슬롯 재밍은 일반적으로 금액 재밍보다 비용이 저렴할 것입니다. 공격자는 이 공격을 수행하기 위해 네트워크에 코인이 있어야 하므로, 483 용량 HTLC에 대해 최소 허용 값을 라우팅하는 것이 채널에서 사용 가능한 모든 유동성을 잠그려고 시도하는 것보다 비용 효율적일 것입니다.
누가 라이트닝 채널을 재밍하고 싶어할까?
이 공격을 수행할 이유는 많습니다. 첫째, 비트코인 자체를 공격하고자 하는 악의적인 주체는 네트워크의 “핵심”에 있는 모든 주요 채널을 재밍하여 대부분의 네트워크가 결제 라우팅에 사용 불가능하게 만들 수 있습니다. 이는 이 규모에서 수행하기 위해 훨씬 더 많은 코인이 필요하지만, 비트코인이 성장하고 정부가 승인한 돈과 결제 시스템의 대안이 될수록 가능성으로 간과해서는 안 됩니다.
둘째, 라우팅 노드나 상인은 경쟁자를 공격하여 수수료를 자신에게 유도하려고 시도할 수 있습니다. 유사한 제품을 판매하는 상인은 경쟁자의 채널을 재밍하여 고객이 그곳에서 구매하지 못하도록 하여 대신 자신의 상점에서 쇼핑하도록 유도할 수 있습니다. 유사한 채널 연결성을 가진 라우팅 노드는 경쟁 라우팅 노드의 채널을 재밍하여 결제 라우팅에 사용할 수 없게 만들 수 있습니다. 시간이 지나면 이는 해당 노드의 라우팅 신뢰성에 대한 평판을 파괴하고, 유사한 연결성 때문에 사용자의 지갑이 네트워크를 통해 결제를 라우팅하기 위해 공격자의 노드를 선택할 가능성을 높입니다.
이 공격은 공격자가 단일 채널을 여러 번 순환적으로 라우팅할 경우 더욱 자본 효율적일 수 있습니다. 네트워크에서 피해자와 충분히 가까운 경우, 피해자의 채널을 통해 계속해서 순환하는 결제 경로를 구성할 수 있습니다. 결제 경로의 길이에 제한이 있으므로 무한히 할 수는 없지만, 이렇게 순환하는 결제 경로를 사용하면 공격자가 피해자의 채널을 완전히 재밍하는 데 필요한 코인의 양을 크게 줄일 수 있습니다.
채널 재밍 공격 완화하기
공격자의 비용을 증가시키고 피해자에게 미치는 피해를 완화하기 위해 몇 가지 기본적인 부분적인 완화책을 적용할 수 있습니다. 첫 번째는 HTLC를 처리하기 위한 다단계 프로세스입니다.
현재 각 HTLC는 현재 채널 상태에 대한 커밋 거래에서 개별적으로 새로운 출력을 추가합니다. 두 단계 프로세스는 커밋 거래에서 단일 추가 출력을 생성한 다음, 그 후에 실제 HTLC가 추가된 두 번째 거래를 가질 수 있습니다. 이렇게 하면 채널당 최대 483 곱하기 483 HTLC 슬롯(또는 233,289 슬롯)을 허용할 수 있습니다. 그러나 이것만으로는 아무것도 해결되지 않으며, 온체인에서 집행하기 위해 추가 거래를 추가하기 때문에 타임락을 연장해야 하며, 공격자가 이 새로운 거래 구조를 활용하고 피해자가 그렇지 않은 경우 공격자에게 더 도움이 될 수 있습니다. 그러나 이는 곧 설명할 다른 기술과 결합하면 도움이 될 것입니다.
두 번째는 반응적 전략으로, 재밍의 피해를 입은 노드는 단순히 재밍된 노드와 동일한 피어에 새 채널을 열 수 있습니다. 그러나 이는 그렇게 하려면 추가 자본이 필요하며, 다른 채널이 재밍되어 수수료 수익을 잃는 기회 비용을 해결하지 않으며, 공격자가 그렇게 할 자본이 있다면 새 채널도 이후에 재밍될 수 있습니다.
세 번째 기술은 HTLC 슬롯을 버킷으로 나누는 것입니다. 현재 483개의 슬롯이 있으며, 이는 결제의 가치와 관계없이 모든 결제에 보편적으로 적용되는 단일 슬롯 제한입니다. 노드는 서로 다른 값의 결제에 대해 별도의 작은 슬롯 제한 버킷을 생성하고 이를 적용할 수 있습니다. 즉, 100,000 사토시 이하의 결제는 150 슬롯만 접근할 수 있습니다. 따라서 작은 가치의 결제가 사용 가능한 모든 HTLC 슬롯을 소모할 수 없습니다.
100,000 사토시에서 1백만 사토시까지의 결제는 300 슬롯에 접근할 수 있고, 1백만 사토시에서 1천만 사토시까지의 결제는 전체 483 슬롯에 접근할 수 있습니다. 이는 공격자가 슬롯 재밍을 수행하는 데 필요한 자본 비용을 상당히 높일 것이며, 더 이상 가장 작은 가치의 결제로 모든 483 슬롯을 소모할 수 없게 됩니다. 또한, 먼지 임계값(현재 546 사토시) 이하의 HTLC 출력은 방송되고 온체인에서 집행될 수 없으므로, 이 한도 이하의 모든 것은 어차피 HTLC 출력이 생성되지 않기 때문에 “0 버킷”으로 처리될 수 있습니다. 노드는 CPU 리소스 사용량이나 다른 메트릭에 따라 이러한 거래에 대한 제한을 집행하여 서비스 거부 위험이 되지 않도록 방지할 수 있습니다.
슬롯 버킷화와 두 단계 HTLC 처리를 결합하여 HTLC 제한의 적용을 최적화할 수 있습니다. 즉, 더 높은 가치의 결제는 두 단계 구조를 사용하여 채널당 더 많은 슬롯을 생성할 수 있으며, 더 높은 결제 가치는 공격자가 이를 재밍하는 비용을 증가시켜 더 높은 슬롯 제한을 악용하여 재밍 공격자가 발생할 가능성을 줄입니다.
위에서 인용된 연구에서 리아르와 나우멘코는 슬롯 버킷화와 두 단계 슬롯 확장의 최적 조합으로 슬롯 재밍의 원인을 금액 재밍만큼 비싸게 만들 수 있음을 보여주었습니다. 이는 문제를 포괄적으로 해결하지는 않지만, 네트워크 전반에 걸쳐 노드에서 널리 구현될 경우 공격 수행의 최소 비용을 높입니다.
그들이 살펴본 두 가지 포괄적인 해결책은 유동성을 잠그기 위한 선불/보유 시간 수수료와 블라인드 차우미안 토큰을 사용하는 평판 시스템입니다. 수수료 계획의 TLDR는 결제가 오랜 시간 동안 정산될 것으로 예상되는 HTLC를 라우팅하기 위해 선불 수수료에 대한 보증금이 지불되며, 정산되지 않은 시간이 길어질수록 정산이 이루어지지 않은 각 라우팅 노드에 시간 단위로 수수료가 지급된다는 것입니다. 문제는 이를 집행하는 것이 필요할 경우 채널을 닫아야 할 수도 있으며, 이는 정당한 사용 사례가 공격자가 채널 재밍을 시도할 때와 동일한 높은 수수료를 지불해야 하도록 만들 수 있습니다.
평판 시스템은 제로 지식 증명을 사용하여 비트코인 통제를 증명하는 “스테이크 보증금”을 포함하고, 그런 다음 자신의 평판에 연결된 보증금을 사용하여 라우팅 노드에서 블라인드 차우미안 토큰을 획득하고, HTLC가 성공적으로 정산될 때 개인 정보를 보호하는 방식으로 교환 및 재발행됩니다. 노드는 각 신원당 한 번 토큰을 발행하며, HTLC가 적시에 정산되거나 환불되지 않으면 노드는 토큰을 재발행하는 것을 거부할 수 있어 사용자가 새로운 스테이크 보증금을 생성하기 위해 시간과 비용을 들이지 않는 한 자신의 노드를 통해 라우팅할 수 없게 됩니다.
이 두 가지 해결책에 대해 더 읽고 싶으신 분은 리아르와 나우멘코의 연구의 5장과 6장에서 더 많은 정보를 찾을 수 있습니다.
또한, 라우팅 노드가 제3자 기반 에스크로 시스템이나 신뢰 기반 신용 라인을 채택한다면, 제가 여기서 쓴 것처럼 채널 재밍과 관련된 모든 문제는 더 이상 그들에게 영향을 미치지 않을 것이라는 점도 주목할 가치가 있습니다. 이는 라우팅 노드의 신뢰 모델에 큰 변화를 가져오겠지만, 실제 라이트닝 채널을 사용하여 사토시를 송수신하는 사람들에게는 전혀 영향을 미치지 않으며, 그들의 자금의 안전성이나 온체인에서 이를 집행할 수 있는 능력에도 영향을 미치지 않을 것입니다.
사람들은 듣고 싶지 않을 수도 있지만, 결국 위의 채널 재밍 완화 솔루션이 충분하지 않다면, 이러한 제3자 시스템은 항상 잠재적인 옵션입니다.
이 글은 신오비의 게스트 포스트입니다. 표현된 의견은 전적으로 그들의 것이며 BTC Inc 또는 비트코인 매거진의 의견을 반드시 반영하지는 않습니다.
