比特币 :本周的比特币技术周刊,主要关注的是影响硬件钱包的费用超额支付攻击问题,而Trezor和Ledger等硬件钱包在升级固件后导致兼容性问题。针对这些问题,开发人员已将解决方案合并到taproot的BIP341规范中,但是目前尚无很好的解决方案来解决硬件钱包面临两次攻击的问题。另外,关于闪电网络通道的安全性,上周开发人员还提出了一种通过日食攻击来窃取通道资金的方法。对于此问题,研究人员认为,根本的解决方案是改善主链以防止日食攻击。抵抗性。最后,我们还将关注上周发生的比特币软件基础设施的一些重大更新。
如果钱包具有以前交易的完整副本或可以获取这些副本,则恢复兼容性仅是更新钱包代码的问题。 在其他情况下,钱包可能无法存储先前付款钱包的交易的完整副本,这可能需要更新设计钱包以存储此数据,并且有必要重新扫描 比特币 链 比特币 过去的钱包交易
- 此攻击三年前为开发人员所知:桑德斯大约在三年前公开描述了该攻击。在其他讨论中,例如在开发人员邮件列表,BIP等中,已经讨论了他。提到了这种攻击,但是在很多人看来,这种攻击难以实施,影响也很小,因此,能够访问硬件钱包软件控制器的攻击者更有可能执行不同的攻击(例如地址替换攻击),此攻击将直接向攻击者付款,而不是执行超额付款攻击。
- 双重签名的代价也可能是两倍:攻击取决于使用受感染软件的情况,从而允许硬件钱包用户授权两个交易,这些交易在用户看来完全相同,但交易略有不同(每个交易都有两个输入)。但是,相同的受感染软件可以向用户显示两次完全不同的交易(每个交易花费不同的输入),它们看起来完全相同,从而导致向同一收件人进行两次付款。从用户的角度来看,这两种攻击是无法区分的,但是针对超额攻击的修复方法无法解决两种代价攻击的问题。
- 多重签名设置可能需要做出多种折衷:为了使用多个硬件钱包攻击受多重签名保护的资金,每个需要满足最小阈值的签名者(例如2个签名者(共3个多重签名中的2个))欺骗了签署相同的两个交易变体。对于涉及在线钱包的情况,钱包知道其签名UTXO的价值(例如,基于策略的远程签名者),并且该攻击仅在在线钱包也受到攻击的情况下才起作用。
解决此攻击问题的一种长期方法是更改事务摘要,以使每个签名都提交事务中使用的所有UTXO的值。如果损坏的软件代表了任何UTXO的数量,这将使签名无效。 不幸的是,这仍然无法解决两次支出攻击,这是大多数硬件钱包的无状态设计所存在的问题,这阻止了他们在内部跟踪自己的交易历史记录
针对闪电网络的时间膨胀攻击
比特币软件基础设施更新
- 上周,发布了最新版本的比特币客户端协议Bitcoin Core 0.20.0。此版本中最显着的改进包括:RPC用户的默认bech32地址(GUI在0.19中默认为bech32),为不同用户和应用程序配置RPC权限的能力(请参阅第77周报告),并在GUI的一些基本支持(#74和#82),以及将
sortedmulti添加到输出脚本描述符语言中。为了消除错误,增强安全性并为将来的更改做准备,开发人员还对代码进行了许多不太明显的改进。一项备受期待的前瞻性更改是添加了asmap配置设置,该设置允许使用单独下载的数据库来提高Bitcoin Core对Erebus攻击的抵抗力。但是,正如发布声明中所指出的那样:“当前,此更新是高度试验性的,尚不清楚如何从中取得进展。收集和编译ASN数据非常重要,这将导致信任问题。”关于比特币核心0.20。有关版本0客户端的更多信息,请参考发行说明。 - LND 0.10.1-beta是LND Lightning Network软件的新beta版。该版本的软件未添加新功能,但修复了多个漏洞。
- 引入Eclair#1440之后,您可以使用API一次更新多个渠道。它最初旨在通过批量更新通道的中继费来帮助节点运营商适应动态链上计费市场。此新功能还可以批量关闭和强制关闭。
- Eclair#1141添加了对
option_static_remotekey通道的支持。如果LN节点丢失数据,此功能允许渠道交易方将当前余额支付给初始渠道开放期间商定的未削弱密钥,从而关闭渠道并允许节点的钱包正常支出其资金。有关此功能的更多详细信息,请参阅第67周报告。 - LND#4251使其REST接口支持的非流消息的列表等于gRPC接口的列表。以前,这些消息的子集只能通过REST接口使用。该PR之后是LND#4141,它通过添加对WebSockets流响应的支持,使REST接口和gRPC接口完全等效。
- BIP#920更新了taproot的BIP341规范,要求签名直接提交所有花费UTXO的scriptPubKey。这使得硬件钱包更容易,更安全地参与coinjoin和其他协作生成的交易。有关更多信息,请参见第97周报告。
温馨提示:
文章链接:https://www.btchangqing.cn/36911.html
更新时间:2020年06月11日
本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。
