Pesquisadores da Universidade Hebraica de Jerusalém descobriram outra vulnerabilidade na Lightning Network do Bitcoin, ela permite o roubo de fundos dos usuários.

Pesquisadores da Universidade Hebraica descobriram “um ataque sistêmico à Lightning Network que permite roubar fundos bloqueados nos canais de pagamento“, pelo qual um “atacante força muitas vítimas de uma só vez a inundar o blockchain com reivindicações de seus fundos. Ele então é capaz de alavancar o congestionamento que eles criam para roubar quaisquer fundos que não foram reclamados antes do prazo.

ataque
Topologia do Ataque Flood & Loot

A vulnerabilidade chamada de “Flood & Loot” foi descoberta por Aviv Zohar (Chefe Cientista da QED-it) e Jona Harris (estudante de Mestrado em Ciências). Segundo eles, “apenas 85 canais atacados simultaneamente são suficientes para garantir que o invasor consiga algum dinheiro (e isso pressupõe que não há outras transações de blockchain competindo por espaço – o que é uma suposição altamente otimista).

O ataque pode permitir que fundos sejam roubados de usuários inocentes. Não tente em casa. Infelizmente, nenhuma mudança óbvia no protocolo o elimina completamente. Os resultados deste trabalho foram compartilhados com os desenvolvedores das três principais implementações do Lightning antes da publicação“, afirmaram os pesquisadores.

2020: o ano dos ataques na Lightning?

A Lightning Network está sendo estudada por pessoas do mundo todo, fazendo com que as implementações descubram bugs e possíveis problemas antes de uma adoção em massa.

O ano de 2020 começou negativo para a LN, pois a tocha da Lightning foi roubada por um usuário no Twitter já em janeiro. Então em abril, pesquisadores de Luxemburgo, Estados Unidos e Inglaterra acharam problemas com a privacidade dos nodes da segunda camada.

Pouco tempo depois, o desenvolvedor Matthew Corallo publicou um “novo método de roubar dinheiro dos nodes da LN”, explicado na Bitcoin Optech #95. Outra vulnerabilidade foi publicada no começo de junho pelos desenvolvedores do Bitcoin Core, o chamado de ataque de “dilatação de tempo” também permite o roubo de fundos da Lightning.

Apesar das vulnerabilidades terem sido descobertas por “atacantes honestos” e com o intuito de melhorar a rede, elas acabam causando certo receio em empresas que trabalham com soluções de pagamento ou transferência de bitcoins.

A Bitpay, uma das mais reconhecidas soluções de pagamento no mercado de criptomoedas, anunciou que a LN não está no seu roadmap atual. O receio também é visto entre corretoras de criptomoedas, atualmente, nenhuma corretora brasileira aceita pagamentos via Lightning Network.