Tác giả: Dan Gould
Nguồn: https://payjoindevkit.org/2025/03/31/payjoin-probing-attacks/
Dưới đây là giải pháp cuối cùng cho các cuộc tấn công dò quét UTXO xung quanh Payjoin, làm rõ tính hiệu quả của các biện pháp giảm thiểu hiện tại và cung cấp lập luận quyết định để áp dụng Payjoin. Payjoin là giao thức xử lý giao dịch tương tác cơ bản, tiết kiệm phí giao dịch bằng cách giảm kích thước thực tế của việc chuyển tiền và tăng cường quyền riêng tư bằng cách gây nhiễu các phân tích dấu vết thường được sử dụng để giám sát blockchain. Mặc dù các cuộc tấn công dò quét tồn tại về mặt lý thuyết, nhưng chi phí thực hiện rất cao, đã được giảm thiểu trong thực tế và không tạo ra rào cản đáng kể cho việc áp dụng Payjoin.
Phân tích cuộc tấn công dò quét
Trong một cuộc tấn công dò quét, kẻ tấn công bắt đầu một payjoin và sau đó cố ý dừng lại để tìm hiểu các UTXO trong ví của người nhận. Vì người nhận Payjoin sẽ trả lời người gửi tiềm năng với một đề xuất payjoin chứa các UTXO của mình, nên người gửi sẽ biết thông tin về các UTXO này. Nếu việc nhận đề xuất Payjoin không có chi phí, thì cuộc tấn công này sẽ cung cấp cho kẻ tấn công thông tin mới về người nhận mà họ không thể có được trước đó.
Các thông số kỹ thuật Payjoin đầu tiên đã nêu ra các biện pháp để xử lý loại tấn công này, chi tiết trong các phần liên quan của Đề xuất cải tiến Bitcoin (BIP) 79 và BIP 78.
Các biện pháp giảm thiểu hiện tại
Chiến lược giá trị tối thiểu
Chiến lược giá trị tối thiểu đặt ra một mức giá sàn, chỉ khi giá trị giao dịch vượt quá mức này thì người nhận mới trả lời người gửi với đề xuất payjoin chứa các UTXO của mình.
Mức phí tối thiểu
Người nhận có thể chọn chỉ phản hồi các giao dịch dự phòng có mức phí vượt quá một ngưỡng nhất định. Nếu người gửi dừng giao dịch, người nhận có thể phát sóng giao dịch dự phòng, buộc người gửi phải chịu phí giao dịch.
Số tiền chuyển tối thiểu
Người nhận có thể chọn chỉ phản hồi các giao dịch dự phòng với khoản thanh toán cho chính mình vượt quá một giá trị nhất định. Nếu người gửi dừng giao dịch, người nhận có thể phát sóng giao dịch dự phòng, buộc người gửi phải chịu số tiền chuyển và phí giao dịch.
Phát sóng giao dịch dự phòng
Các nhà cung cấp dịch vụ thanh toán hoạt động như người nhận Payjoin nên chú ý nhất đến các cuộc tấn công dò quét vì họ sẽ tự động trả lời các yêu cầu tạo Payjoin. Những người nhận thủ công cần tạo yêu cầu cho mỗi lần thử dò quét tiềm ẩn, điều này làm cho các yêu cầu tấn công lặp lại không phải là vấn đề, vì người nhận chắc chắn sẽ nhận ra nhiều yêu cầu đã được bắt đầu và sau đó bị dừng lại.
Theo quy định, các nhà cung cấp dịch vụ thanh toán tự động như người nhận Payjoin phải phát sóng giao dịch dự phòng hợp lệ của người gửi nếu không thấy giao dịch payjoin của mình được phát sóng sau thời gian chờ. Điều này mặc định thực thi chiến lược phí chuyển tiếp tối thiểu.
Cơ chế này cũng có thể được thực hiện bởi những người nhận ngang hàng thủ công như một biện pháp phòng ngừa bổ sung. Sau một khoảng thời gian thích hợp (ví dụ: sau khi phiên payjoin không đồng bộ hết hạn), việc phát sóng giao dịch dự phòng có thể được kích hoạt theo cách thủ công hoặc tự động.
Phát lại đầu vào
Các nhà cung cấp dịch vụ thanh toán tự động nên phản hồi các yêu cầu của người gửi dựa trên các đầu vào của giao dịch dự phòng; luôn phản hồi bằng các đầu vào của riêng mình cho các đầu vào gửi giống nhau. Điều này đảm bảo việc thực thi các biện pháp giảm thiểu chi phí tối thiểu được đặt ra.
Ràng buộc chính sách phiên
Trong các phiên Payjoin không đồng bộ, các phiên nhận sẽ được ràng buộc với URI Bitcoin được sử dụng để yêu cầu chúng. Người nhận có thể gắn các chính sách cụ thể với URI cụ thể của người gửi dựa trên mức độ tin cậy.
Bác bỏ các mối lo ngại chính
Quan điểm: Các cuộc tấn công dò quét không có chi phí
Sự thật: Khi giao dịch dự phòng được phát sóng, kẻ tấn công phải trả phí và phải chịu rủi ro thanh toán giá trị tối thiểu cho người nhận.
Tuyên bố: Các biện pháp giảm thiểu hiện tại không hiệu quả
Sự thật: Việc triển khai đúng đắn hạn chế nghiêm ngặt việc rò rỉ thông tin và đáng kể nâng cao chi phí của kẻ tấn công. Cho đến nay chưa có báo cáo nào về việc lạm dụng các cuộc tấn công dò quét.
Tuyên bố: Kẻ tấn công luôn có thể chi đủ nguồn lực để dò quét
Sự thật: Về lý thuyết, kẻ tấn công chủ động có thể tấn công quyền riêng tư bằng mọi cách (ví dụ: tấn công bụi, tấn công Phù thủy), nhưng Payjoin buộc các cuộc tấn công chuyển từ bị động (chi phí thấp, có thể mở rộng) sang chủ động (chi phí cao, có thể phát hiện).
Tuyên bố: Để đảm bảo an toàn, nên hoàn toàn tránh sử dụng Payjoin
Sự thật: Nếu không sử dụng Payjoin, thông tin bị rò rỉ một cách bị động trong quá trình tổng hợp quỹ thông thường còn nhiều hơn so với thông tin bị rò rỉ chủ động khi gặp phải các cuộc tấn công dò quét. Payjoin đáng kể giảm lượng thông tin bị rò rỉ tổng thể, thậm chí đối với những người chưa sử dụng giao thức này.
Tuyên bố: Payjoin không cho phép bạn chọn UTXO, điều này có thể ngăn chặn việc rò rỉ
Sự thật: Payjoin là một cơ chế xử lý hàng loạt ngang hàng. Các bên tham gia Payjoin có thể chọn sử dụng bất kỳ UTXO nào dựa trên các nhãn cục bộ hoặc bất kỳ sở thích nào khác.
Payjoin như thế nào để ngăn chặn rò rỉ
- Phá vỡ manh mối về nguồn đầu vào:Phá vỡ giả thuyết của Satoshi Nakamoto rằng tất cả các đầu vào đều đến từ cùng một người gửi.
- Gây nhiễu việc nhận dạng tiền thừa:Làm cho việc xác định đầu ra nào là thanh toán và đầu ra nào là tiền thừa trở nên khó khăn hơn.
- Loại bỏ việc tích hợp nguồn vốn riêng lẻ:Những người nhận sẽ gộp các khoản thanh toán nhận được theo lô, do đó chi phí phá vỡ phân tích manh mối sẽ thấp hơn so với việc không làm gì (từ đó tiết lộ thông tin).
- Cải thiện quyền riêng tư toàn cục:Các giao dịch Payjoin có thể không khác gì các giao dịch không phải Payjoin, nhân đôi độ khó của việc giám sát.
Các trường hợp biên và bối cảnh thực tế
Về lý thuyết tồn tại các cuộc tấn công, đặc biệt là khi không tuân theo hướng dẫn thực hiện. Các trường hợp như vậy thuộc về vấn đề triển khai, không phải lỗ hổng của chính giao thức Payjoin. "Bộ công cụ phát triển Payjoin" có thể giúp tránh việc lạm dụng của những người triển khai.
Mặc dù các cuộc tấn công tinh vi như tấn công bụi có xảy ra trên Bitcoin, nhưng chi phí thăm dò Payjoin quy mô lớn là rất cao và bị hạn chế trong thực tế.
Làm thế nào để bảo vệ việc triển khai Payjoin của bạn
- Sử dụng Bộ công cụ phát triển Payjoin để mặc định tuân theo các phương pháp hay nhất.
- Đối với các triển khai tùy chỉnh, hãy tuân theo hướng dẫn BIP và danh sách các biện pháp giảm thiểu trong bài viết này.
- Tìm kiếm sự trợ giúp từ đội ngũ Bộ công cụ phát triển Payjoin để đảm bảo việc triển khai của bạn đã áp dụng các biện pháp bảo vệ phù hợp, chẳng hạn như yêu cầu tính liên tục và phát sóng giao dịch dự phòng.
Tại sao Payjoin nổi bật
Những lợi ích về mặt kinh tế và quyền riêng tư của Payjoin vượt xa rủi ro của các cuộc tấn công thăm dò lý thuyết. Việc áp dụng nó có lợi cho toàn bộ mạng lưới Bitcoin, bởi vì tỷ lệ sử dụng Payjoin cao hơn thậm chí có thể cải thiện quyền riêng tư của các giao dịch không phải Payjoin. Bộ công cụ phát triển Payjoin tích hợp các phương pháp hay nhất để giải quyết các vấn đề về các cuộc tấn công thăm dò đã biết, đáng kể cải thiện tình hình của những người nhận Payjoin.
(Kết thúc)
