최근 앙투안 리아르에 의해 공개된 라이트닝 취약성에 대해 많은 소음이 발생했습니다. 많은 사람들이 하늘이 무너진다고 주장하며, 라이트닝이 근본적으로 망가졌다고 말하고 있지만, 이는 사실과 거리가 멉니다. 이 문제의 일부는 사람들이 이 취약성이 어떻게 작동하는지 잘 이해하지 못하고, 또 다른 부분은 많은 사람들이 이 개별 취약성이 라이트닝 네트워크의 다른 알려진 문제와 어떻게 겹치는지 이해하지 못한다는 것입니다.
우선, 취약성 자체를 이해해 봅시다. 라이트닝 결제가 네트워크를 통해 라우팅될 때, 실패한 결제를 환불하기 위한 타임락이 어떻게 작동하는지를 이해하는 것이 중요합니다. 수신자와 가장 가까운 홉은 ‘x’의 타임락을 가지고 있으며, 송신자 쪽으로 돌아가는 각 홉은 ‘x+1’, ‘x+2’ 등의 타임락을 가집니다. 수신자에서 송신자 쪽으로 갈수록 타임락은 점점 길어집니다. 이는 결제가 수신자에게 도달했지만, 어떤 문제로 인해 프리이미지가 송신자에게까지 전파되지 못할 경우, 중단된 홉에서 온체인으로 이를 집행할 시간이 생기고, 모든 이전 홉이 결제를 확인하기 위해 필요한 프리이미지를 그곳에 두기 때문입니다. 그렇지 않으면 중간에서 실패가 발생한 곳의 누군가가 프리이미지로 자금을 주장하고, 그들에게 이를 전달한 홉이 환불 경로로 이를 주장할 수 있으며, 중간에 있는 사람은 자금을 잃게 됩니다.
대체 사이클 공격은 바로 그러한 바람직하지 않은 결과를 달성하기 위한 복잡한 방법으로, 목표 노드가 성공적인 거래로 자금을 주장하도록 하고, 수신 홉이 환불 거래를 통해 자금을 주장하게 만듭니다. 이는 피해 노드를 지연시키고, 한쪽에서 타임락이 만료될 때까지 성공 거래에서 프리이미지를 볼 수 없도록 방지해야 합니다. 그러면 그곳에서 환불을 주장할 수 있습니다.
이 공격은 피해자의 메모리풀을 조작하는 매우 목표 지향적이고 복잡한 게임을 요구합니다. 여기서 관련된 실제 거래 구조를 살펴보겠습니다. 라이트닝 채널 상태를 나타내는 주요 거래인 커밋먼트 거래가 있습니다. 이 거래는 채널의 각 측면에 대해 한 구성원 또는 다른 구성원에 완전히 통제되는 자금을 나타내는 출력을 가지고 있으며, 라우팅 중인 각 HTLC에 대한 출력을 가지고 있습니다. 우리가 걱정하는 것은 이러한 출력입니다. 각 HTLC 출력은 수신자로부터 프리이미지를 사용하여 즉시 언제든지 지출할 수 있거나, 환불에 대한 타임락이 만료된 후에 지출할 수 있습니다.
이 공격은 악의적인 당사자 또는 두 명의 공모자가 피해자의 노드 양쪽에 채널을 가지고 있어야 합니다. 따라서 피해자인 밥은 앨리스와 캐롤, 공격자들과 채널을 가지고 있으며, 캐롤에서 밥을 거쳐 앨리스로 라우팅된 결제가 있습니다. 이제 앨리스와 밥 사이의 타임락 환불 경로가 만료되고 유효해지기 전에 캐롤과 밥 사이의 환불이 유효해질 것이라는 점을 기억하세요.
공격자들은 밥을 통해 결제를 라우팅하고, 앨리스는 결제를 완료하기 위해 밥에게 프리이미지를 보내는 것을 거부합니다. 이제 밥은 앨리스와의 타임락 창이 만료될 때까지 기다렸다가 채널 커밋먼트 거래와 환불 거래를 방송하여 타임락 창이 만료되기 전에 이를 확인받으려고 합니다. 앨리스는 이후 프리이미지 거래를 사용하여 채널과 관련 없는 출력으로 자금을 주장하고, 바로 이후에 프리이미지 성공 거래의 두 번째 입력을 이중 지출합니다. 여기서 목표는 밥의 타임아웃 거래를 메모리풀에서 퇴출시키는 것이지만, 또한 프리이미지 성공 거래도 퇴출시켜 밥이 이를 보지 못하게 하는 것입니다. 만약 그가 이를 본다면, 그는 프리이미지를 알게 되고 캐롤과의 채널에서 자금을 주장할 수 있습니다.
앨리스와 캐롤은 밥이 앨리스와 함께 타임아웃 거래를 재방송할 때마다 이를 일관되게 수행해야 하며, 캐롤의 타임아웃 거래가 유효해지는 블록 높이를 지나기 전까지 계속해야 합니다. 그러면 그들은 앨리스 측에서 성공 거래를 제출하고, 캐롤 측에서 타임아웃 거래를 제출하여 밥이 라우팅하던 결제의 가치를 잃게 만들 수 있습니다.
이 문제는 두 가지 측면이 있습니다. 첫째, 피해자의 비트코인 코어 노드는 프리이미지 성공 거래가 그들의 메모리풀에 전파되지 않도록 특별히 목표로 삼아야 합니다. 둘째, 앨리스가 프리이미지 거래를 퇴출시키기 위해 사용하는 두 번째 거래가 확인되면, 앨리스는 비용을 발생시킵니다(기억하세요, 아이디어는 타임아웃 거래를 프리이미지로 대체하여 메모리풀에서 퇴출시키고, 그런 다음 프리이미지 거래를 두 번째 거래로 대체하여 프리이미지 거래의 추가 입력을 이중 지출하는 것입니다). 이는 밥이 타임아웃 거래를 재방송할 때마다 앨리스가 더 높은 수수료를 지불해야 하며, 그것이 확인되면 실제로 비용이 발생한다는 것을 의미합니다.
따라서 밥은 자신의 타임아웃 거래를 더 높은 수수료로 정기적으로 재방송함으로써 앨리스가 큰 비용을 발생시키도록 강요할 수 있으며, 만약 결제 HTLC 출력이 앨리스가 발생시킬 수 있는 수수료보다 상당히 더 가치가 없다면, 이 공격은 경제적으로 실행할 가치가 없습니다. HTLC 성공 및 타임아웃 거래가 구성되는 방식을 변경함으로써 공격을 완전히 방지하는 것도 가능합니다. SIGHASH_ALL 플래그를 사용하면 서명이 거래의 전체에 대해 커밋되며, 이 공격에 필요한 프리이미지 거래에 새로운 입력을 추가하는 것과 같은 가장 작은 세부 사항이 변경되면 무효가 됩니다. 이는 현재 앵커 출력을 사용하는 라이트닝 채널의 경우에는 작동하지 않지만, 문제를 완전히 해결할 수 있습니다. 피터 토드는 이 문제를 완전히 해결할 새로운 합의 기능을 제안했으며, 본질적으로 특정 시간이나 블록 높이 이후에 거래가 무효가 되는 역 타임락입니다. 그러나 제 생각에는 그렇게까지 갈 필요는 없습니다.
단순히 거래를 정기적으로 약간의 수수료 인상과 함께 재방송하는 것은 공격에 대한 대규모 완화책이지만, 이와 관련하여 심각한 문제가 되지 않도록 만드는 여러 역학도 있습니다. 첫째, 라우팅 노드가 아니라면, 이는 심각한 문제가 아닙니다. 따라서 대부분의 최종 사용자는 이 공격으로부터 안전합니다. 둘째, 노드가 무작위로 누군가가 그들에게 채널을 열도록 허용하지 않는 여러 가지 이유가 있습니다. 대형 노드는 누가 그들과 피어를 형성할지에 대해 매우 선별적이며, 효율적이거나 전문적으로 관리되지 않는 무작위 채널은 사용되지 않는 채널에서 손실된 자본의 형태로 비용이 발생합니다. 따라서 이 공격의 매력적인 목표가 될 대형 노드와 연결되는 것은 처음부터 간단하지 않으며, 공격을 수행하기 위해 여러 채널로 그들과 연결되는 것은 더욱 어렵습니다. 마지막으로, 제가 과거에 쓴 것처럼, 네트워크에서 발생할 수 있는 다른 관련 없는 공격은 이미 노드가 HTLC를 처리하는 방식에 필터와 제한을 필요로 하고 있습니다. 즉, 그들이 전달할 결제의 크기 제한, 특정 시점에 허용할 수 있는 결제 수 등입니다. 따라서 공격할 가치가 있는 노드와 채널을 열 수 있다고 하더라도, 네트워크가 발전함에 따라 결제를 처음부터 전달할지 여부를 결정하는 데 더 많은 고려된 기준과 필터가 생길 것입니다.
전반적으로, 이는 합법적인 문제이자 가능한 공격이지만, 직접적인 완화책과 공격이 장기적으로 다른 문제에 대한 해결책과 어떻게 상호작용할 것인지 측면에서, 이는 해결할 수 없는 문제가 아닙니다. 이는 합법적인 문제이며, 이를 단순히 FUD로 일축하는 것은 정확한 반응이 아니지만, 하늘이 무너지고 라이트닝 네트워크라는 프로토콜이 파산했다고 주장하는 것은 문제를 과장하는 것입니다.
시간은 계속 흐르고, 우리는 문제에 직면하게 될 것이며, 그 문제를 해결할 것입니다. 항상 그랬듯이.
