慢霧余弦：閃電網絡的替換循環攻擊類似MEV的三明治攻擊，需警惕被夾風險

10月22日消息，慢霧創始人余弦在社交媒體上發文表示，閃電網絡出現了替換循環攻擊，與 MEV 里的三明治攻擊有些相似，利用前后夾擊套出被夾目標的資金。

這一攻擊方式的實施并不容易，需要滿足以下條件：

· 在受害者身上打開兩個通道。

· 通過這兩個通道中的其中一個路由付款。

· 成功替換循環受害者的 HTLC-timeouts 在Δ blocks 內。

· 同時，需要確保受害者不會發現 HTLC 預映像交易。

這個風險在被修復之前，使用閃電網絡的項目方在對接上下游建立通道前可以警惕下，最好和有信譽的建立，降低被夾風險，具體情況還需要進一步的測試和驗證。

其它快訊：

慢霧余弦：通過低交易費用惡意卡住銘文交易是可能的:金色財經報道，X平臺用戶@BTW0205發文表示存在一種惡意行為，買家發起超低Gas的交易購買銘文，使得短期內無法成交，上漲后加速交易，下跌后取消交易。

對此，慢霧創始人余弦表示，由于交易平臺使用的PSBT簽名機制，確實可以惡意霸占該筆交易一定時間。可以使用RBF加速交易成功，不會加速交易取消（取消的實際是成功前的那筆低Fee交易，但理論上最終會有個按賣家PSBT約定的成功交易）。[2023/12/16 19:14:14]

慢霧余弦：比特幣銘文CVE漏洞不代表有必要修復，是否修復要看Bitcoin Core的態度:金色財經報道，慢霧創始人余弦在社交媒體上表示，比特幣序號銘文被扣個CVE編號本來一個社區爭議的問題，但是爭議方把這事提交給CVE這種影響力深遠的漏洞平臺，NVD（許多人說的美國政府機構）等漏洞平臺也是采納CVE編號，整個安全甚至IT行業都認這些標準。但是有一個客觀事實：CVE漏洞不代表都一定會或有必要修復，尤其是漏洞評分等級不高的，比如比特幣序號銘文這個，5.3分（滿分10分），中危漏洞，我們如果看細節，影響這個最終分數有好幾個指標，其中有的指標是0分，Impact這個“影響”指標也才1.4分。如果是這種情況，最終修復與否還真要看Bitcoin Core的態度，修復后執行與否還得看礦池們、看有影響力的各位的態度。[2023/12/12 19:04:46]

慢霧余弦：friend.tech的2FA機制實際是設置獨立密碼，用戶務必妥善保管:10月10日消息，慢霧創始人余弦發文稱，測試了下friend.tech新增的2FA機制，這個2FA實際上是讓用戶設置了個獨立的密碼，當用戶在進行買賣key、提現資金、導出私鑰等資金有關操作時，需要驗證一次這個獨立密碼，用戶一定要保管好這個獨立密碼，否則等于你的資金就沒了。

金色財經今日報道，friend.tech新增支持2FA密碼功能，friend.tech強調官方和Privy團隊都無法重置這些密碼，因此用戶使用此功能時請小心。[2023/10/10 16:43:17]