Daar zijn we weer! Zoals jullie weten wijden we één keer per maand een aparte editie aan het lightningnetwerk. Deze secundaire laag bovenop bitcoin verdient meer aandacht. In deze Lightning Focus aandacht voor de eerste Taproot Assets, mooie subsidies van OpenSats voor nostr-projecten, lightning in een nieuwe wallet, Doppler en zogenoemde Replacement Cycling Attacks.

We beginnen met het meest luchtige nieuws van allemaal: BitBox heeft lightning geïmplementeerd.

Focus is een open nieuwsbrief. Steun ons met een vrijblijvende donatie!

Lightning met hardware wallet

Het Zwitserse bedrijf ontwikkelt hardware wallets, maar heeft ook een BitBoxApp. Door een samenwerking met Breez, en dan met name de Software Development Kit (SDK) van de wallet, heeft het Zwitserse bedrijf nu lightning gekoppeld aan een hardware wallet. Buiten de experimenten van Sphinx om zijn zij naar verluidt de eerste partij die dit succesvol heeft gedaan!

Het gaat om een non-custodial app, gekoppeld aan het liquiditeitsnetwerk van Breez en gebaseerd op compleet open source software. Je kunt je “betaalwallet” makkelijk opwaarderen met de bitcoin uit je cold storage, en deze vervolgens zónder hardware wallet uitgeven via het lightningnetwerk.

In een blogpost schrijft BitBox:

“Om uw lightningwallet op het host device aan te maken, wordt deterministische entropie gebruikt die geen gevoelige gegevens onthult over uw back-up van seeds.”

De private keys van de lightningkant staan dus op de hosting device en zijn daarmee niet compleet offline. “Maar dit is een trade-off”, zo schrijft BitBox, “omdat lightningwallets niet bedoeld zijn voor grote bedragen.”

Het gaat overigens om een eerste test. Alvorens de dienst voor iedereen beschikbaar wordt, moet het eerst nog langs Minimum Viable Product (MVP) en public bèta tests. Zet dit een nieuwe tendens in gang, waarmee meer hardware wallets hun focus ook verleggen naar lightning?

Bringing Lightning to the BitBoxApp! ⚡️

We are exploring seamless, non-custodial Lightning payments directly within the BitBoxApp by partnering with @Breez_Tech.

Watch us pay a @bitrefill lightning invoice from within our BitBoxApp prototype: pic.twitter.com/LEplgzAZjb

— BitBox (@BitBoxSwiss) October 18, 2023

Rondje langs de lightningvelden

• Lightning Labs heeft de eerste mainnet versie van Taproot Assets gelanceerd. Hiermee kun je assets (of: tokens) versturen via het bitcoinnetwerk. De Taproot Assets daemon is al te testen met Polar, en met de nu net gelanceerde v.03 kunnen ontwikkelaars on-chain assets uitgeven, managen en exploren.
  
  Het volgende doel: deze assets ook kunnen versturen via (de liquiditeit van het) lightningnetwerk. Daarvoor zijn Taproot Channels en de specificaties van Taproot Asset Protocol Channels cruciaal. Kunnen we binnenkort stablecoins versturen over lightning? Wordt bitcoin nu een “universele laag voor het versturen van waarde”?
  
• Aan de andere kant (van het letterlijke spectrum) komen er steeds meer tools voor zogenoemde lightning prisma’s, waar je in editie 219 ook al over las. Met MakePrisms.com kun je lightningbetalingen laten opsplitsen op basis van “tags”, bijvoorbeeld de eerste 100 mensen die een bericht liken, eerste 10 die reageren of eerste 5 die het boosten. Daarbij hebben we het natuurlijk over zaps via nostr. Nu de NDK ook Zap Splits heeft geïntegreerd, kan het wel eens hard gaan!

• Voltage deelt de lancering van Doppler, een Domain Specific Language (DSL). Ze omschrijven het als volgt: “Een DSL is een gespecialiseerde computertaal voor specifieke applicaties, geoptimaliseerd voor specifieke taken.” Simpel gezegd: uniformiteit aanbrengen in een complexe omgeving van verschillende programma’s die allemaal hetzelfde doen.
  
  Omdat lightning draait op een handvol verschillende implementaties (zoals eclair, LDK, lnd en CLN) moet een DSL het makkelijker maken om over alle verschillen heen te kijken. Zo kun je jouw lightningdiensten testen die voor de verschillende implementaties (moeten) werken. Je kunt tegen verschillende implementaties aan testen.

We developed a domain-specific language (DSL) for Lightning Network.

Doppler is explicitly tailored for testing Lightning apps.

It enables users to experiment with and test against various Lightning implementations.

Doppler can be used for for discovery testing, inclusion in… pic.twitter.com/yJWolEjX4J

— Voltage ⚡ (@voltage_cloud) October 11, 2023

• Een heel specifieke nieuwe lightningdienst is Shopstr. Met deze decentrale marktplaats kun je via lightning, cashu (een soort van ecash systeem met sats) en nostr spullen verhandelen. Je gebruikt je npub/nsec als account, je lightningwallet als geld en relays als servers, die allemaal op hun eigen manier decentraal werken. Doei creditcard, winkelmandje en centrale database!

Cycling attacks

Drie dagen geleden deelde Antoine Riard een noodkreet op de bitcoin-dev mailing list betreffende zogenoemde Replacement Cycling Attacks. Er was een concreet probleem met betaalkanalen:

“Na zorgvuldige analyse blijkt dat deze praktische (dus niet puur theoretische) aanval lightning routing hops die HTLC’s verwerken onmiddellijk blootstellen aan risico’s om geld te verliezen, zowel voor legacy als anchor output betaalkanalen. Een potentiële exploit is aannemelijk, zelfs als de memory pool vol zit.”

Het gaat om een ‘disclosure’, wat betekent dat het probleem is opgelost alvorens het aan de grote klok is gehangen (en door buitenstaanders kon worden gebruikt om nodes uit te buiten). Voor zo ver bekend is er de afgelopen tien maanden geen misbruik van gemaakt. Gelukkig maar!

Volgens Riard is deze aanval gevaarlijker dan de al langer bekende Pinning Attack, omdat het bij deze Replacement Cycling Attack niet uit maakt hoe vol de mempool is en heeft de aanvaller ook geen rekenkracht nodig.

“Volgens ons onderzoek is het momenteel mogelijk om de totale kanaalcapaciteit van lightning routing hops te stelen als de capaciteit volledig kan worden gerouteerd als een pending HTLC’s”

Hoe werkt het?

Het komt er op neer dat de node met wie je een lightningkanaal hebt, een HTML-preimage kan uitsturen naar het netwerk met hogere transactieskosten dan de “eerlijke HTLC-timeout” die normaal gesproken uitgestuurd wordt. Deze krijgt van miners (door economimsche incentives) voorrang en wordt dus in de blockchain gezet. Hiervoor heeft de aanvaller dus géén hashrate en géén volle mempool nodig (in tegenstelling tot andere al bekende attacks).

Deze Replacement voldeed aan alle lightningregels, waardoor de “eerlijke HTLC-timeout” uit de mempool wordt geknikkerd, omdat deze eerlijke bitcoiner vervolgens onbedoeld aan double spending doet. Je kunt dezelfde satoshi’s immers niet tweemaal uitgeven.

Goed nieuws: de vier grootste lightning-implementaties hebben oplossingen doorgevoerd. Het hele onderzoek van Riard is hier op GitHub te vinden.

Lightningstatistieken

Sam Wouters van River Financial is diep in lightningstatistieken gedoken. Hij heeft bij een handvol bedrijven navraag gedaan en informatie opgevraagd en daarmee geprobeerd het van nature privacyvriendelijke netwerk in kaart te brengen. Hij komt met de volgende bevindingen:

• In augustus 2023 zijn er minimaal 6,6 miljoen transacties door nodes doorgestuurd.
• Dat is 1.212% meer dan in augustus 2021, toen het er volgens K33 zo’n 500 duizend waren.
• Naar schatting is er in augustus bijna $80 miljoen aan bitcoin door kanalen gestuurd, 546% meer dan twee jaar geleden.
• Er zijn tussen de 279.000 en 1,1 miljoen maandelijks actieve lightninggebruikers, waarvan slechts één op de acht non-custodial wallets gebruikt.
• De gemiddelde transactiegrootte op het “publieke netwerk” is 44.700 sats, ofwel $11,84. Het gros van de lightningbetalingen zouden dus nooit op de mainchain kunnen hebben plaatsgevonden.
• Vorig jaar haalden lightningbedrijven minimaal $428 miljoen aan investeringen op, véél meer dan in al de jaren ervoor.

Nogmaals: vanwege het individuele karakter van lightningnodes en het “gebrek” aan een centrale inzichtelijke database, zijn dit allemaal schattingen. Lees zijn hele onderzoek op de website van River!

Nostr grants

Vanuit de diepe buidel van OpenSats (die niet al te lang $10 miljoen van Jack Dorsey’s #startsmall kreeg) krijgen veel nostr-projecten financiële steun. We pikken er een aantal opvallende en leuke projecten uit:

• Nozzle, een Nostr client voor Android die zich focust op een decentrale manier om relays te zoeken en content op te vragen van deze relays.
• Blowater, een client waarmee je op desktops (en in browsers) dm’s kunt sturen en uitlezen.
• ONOSENDAI, ook wel bekend van Cyberspace, een experimentele client die het hele nostr-protocol visualiseert en in kaart brengt in een 3D-omgeving.

• Nostrocket, een nieuwe tool waarmee je “leaderless, location-independent economies” kunt maken waarbij je samen met andere mensen problemen kunt oplossen en daar vergoedingen voor kunt uitdelen.
• 0xchat, een chat-app waarbij privacy wel is gewaarborgd. Het gebruikt private keys, encrypted private chats and contactenlijsten, waarmee je zowel “normal”, “sealed” en “secret” dm’s kunt sturen.

Verder kregen de welbekendere projecten Snort, Zap.stream, nostree en nostur (allemaal al in eerdere Lightning Focus-edities aangehaald) een financieel steuntje in de rug. De details van de financieringsronde vind je in deze blogpost van OpenSats.

Tot de volgende Lightning Focus vol nieuwtjes uit de lightningwereld om je weer volledig up-to-date te houden! 

Focus is een open nieuwsbrief. Steun ons met een vrijblijvende donatie!