Blockchain,

“Lightning Network kwetsbaar voor DDoS-aanvallen”

Onderzoekers van twee universiteiten hebben ontdekt dat het Lightning Network kwetsbaar is voor DDoS-aanvallen. Door dergelijke aanvallen uit te voeren kunnen tot 80% van alle transacties vertragen of zelfs tijdelijk stoppen.


Relatief goedkoop

Een succesvolle aanval op het netwerk kost een potentiële aanvaller ‘slechts’ $2.000 (circa €1.800). Hiermee blijkt het relatief goedkoop om een DDoS-aanval te plegen op het Lightning-netwerk.

Saar Tochner & Aviv Zohar van de Hebreeuwse Universiteit van Jeruzalem en Stefan Schmid van de Universiteit van Wenen beschrijven het lek in de beveiliging. Dit onderzoeksteam heeft de haalbaarheid van georganiseerde aanvallen op verschillende netwerken onderzocht om risico’s in kaart te brengen.


Hoe werkt het Lightning network?

Betalingen via het Lightning Network verlopen via een netwerk van nodes (knooppunten) voordat ze bij de ontvanger aankomen. Deze knooppunten bevinden zich in een extra ‘laag’ apart van de blockchain. Normaliter worden deze nodes beheerd door computers die niets kwaads voor hebben met het netwerk. Sterker, de meeste nodes zullen er baat bij hebben als transacties zo snel en goedkoop mogelijk voltooid worden.

Echter kunnen de punten in het netwerk ook door een aanvaller worden beheerd, waardoor een bepaalde ‘route’ onmogelijk wordt gemaakt. Hierdoor kunnen aanvallers de betalingsverwerking significant vertragen, of zelfs helemaal stopzetten voor een korte tijd. Om zo’n DDoS-aanval uit te voeren moet de aanvaller echter meerdere betaalkanalen tegelijk hebben geopend. De kwaadwillende zorgt dat zijn betaalkanalen gekozen worden voor de transactie, door zijn service goedkoop of gratis aan te bieden. Vaak beloven DDoS-aanvallers bijvoorbeeld 0% commissie over de transactie, waardoor een betaler snel geneigd is die node te gebruiken.

Vervolgens dragen zij de betalingen niet over als deze eenmaal is aangereikt door degene die een transactie wil plaatsen. De transactie wordt in dit geval omgeleid via andere nodes, waardoor de transactietijd (en -kosten) oplopen.


Wissen van betalingen

Door hun nodes aantrekkelijker te maken kunnen aanvallers ervoor zorgen dat betalingen worden vertraagd. In een extreem geval kan een DDoS-aanval zo goed georganiseerd zijn dat het het hele netwerk kan platleggen. Dit risico wordt groot als meer dan 80% van de transacties tegelijk worden dwarsgezeten door de aanvaller. Het onderzoeksteam stelt dat, om dit te bereiken, twintig kanalen beheerd moeten worden door de aanvaller. Ze stellen daarbij dat de kosten voor zo’n operatie op het Lightning Network niet meer dan $2000 zouden zijn.

Het tegenwerken van transacties hoeft echter nog geen ramp te zijn: immers zijn er vele mogelijke routes die een transactie kan afleggen binnen het netwerk. De transactietijd loopt bij een DDoS-aanval al gauw op, maar om het totale netwerk te teisteren is een grote overmacht nodig. Zo’n volledige aanval wordt ook beschreven door de universitaire onderzoekers: door 30 nieuwe kanalen op te zetten, kan een aanvaller tot 80% van alle mogelijke routes in handen krijgen.

Ondanks dit is niet erg waarschijnlijk dat het Lightning Network vaak onder vuur zal komen te liggen, vertelt een developer van het netwerk. Het is volgens hem lastig om aan te vallen doordat het routing-systeem zich constant aanpast: hierdoor worden de nodes binnen het netwerk een soort bewegende doelen. Door deze constructie is het moeilijk om een van de nodes succesvol aan te vallen – laat staan meerdere tegelijk.