今週のニュースレターでは、旧バージョンのLNDに影響する脆弱性の概要と、 共同署名サービス利用時のプライバシーの向上策、量子耐性署名アルゴリズムへの移行が HDウォレットやスクリプトレスマルチシグ、サイレントペイメントに与える影響について掲載しています。 また、Bitcoin Stack Exchangeで人気の質問とその回答や、新しいリリースとリリース候補の発表、 人気のあるBitcoinインフラストラクチャソフトウェアの注目すべき更新に関する恒例のセクションも含まれています。

ニュース

• ● LNDのゴシップフィルターのDoS脆弱性: Matt Morehouseは、 以前責任を持って開示したLNDの旧バージョンに影響する脆弱性について、 Delving Bitcoinに投稿しました。攻撃者は、 LNDノードがメモリ不足に陥って終了するまで、過去のゴシップメッセージを繰り返し要求することができました。 この脆弱性は、2024年9月にリリースされたLND 0.18.3で修正されました。

• ● マルチシグスクリプトのためのチェーンコードの秘匿: Jurvis Tanは、Jesse Posnerと共同で行ったマルチシグ共同カストディのプライバシーとセキュリティ向上に関する研究について Delving Bitcoinに投稿しました。一般的な共同カストディサービスでは、 以下の３つの鍵を用いた2-of-3のマルチシグが使用されます:

  • ユーザーの ホットキー：ネットワーク接続されたデバイスに保存され、 ユーザーのためにトランザクションに署名します（手動またはソフトウェアにより自動で）

  • プロバイダーのホットキー：プロバイダーが排他的に管理する別のネットワーク接続デバイスに保存されています。 この鍵は１日に x BTCまでの支払いのみを許可するなど、ユーザが事前に定義したポリシーに従ってトランザクションに署名します。

  • ユーザーの コールドキー：オフラインで保存され、ユーザーのホットキーが失われた場合、 またはプロバイダーが承認されたトランザクションへの署名を停止した場合にのみ使用されます。

  上記の構成は、セキュリティを大幅に強化できますが、ほとんどの場合、 ユーザーがプロバイダーとユーザーのホットウォレットとコールドウォレットの BIP32拡張公開鍵を共有するという設定方法が採用されています。 これにより、プロバイダーはユーザーのウォレットに入金されたすべての資金を検出し、 ユーザーがプロバイダーの支援なしに支払いをした場合でも、それらの資金のすべての支払いを追跡できます。 このプライバシーの損失を軽減する方法は、これまでにいくつか提案されていますが、 それらは通常の用途には適さない（例：個別のtapleafを使用する）か、 複雑（例：MPCを必要とする）です。TanとPosnerは、シンプルな代替案を説明しています:

  • プロバイダーはBIP32HD拡張鍵の半分（鍵部分）のみを生成し、公開鍵をユーザーに渡します。

  • ユーザーは残りの半分（チェーンコード）を生成し、これは秘密にしておきます。

  資金を受け取る際は、ユーザーは２つのパーツを組み合わせて拡張公開鍵（xpub）を作成し、 通常どおりマルチシグアドレスを導出します。プロバイダーはチェーンコードを知らないため、 xpubを導出したりアドレスを発見することはできません。

  資金を使用する際は、ユーザーはチェーンコードから必要な 調整値 を導出します。 プロバイダーは、この調整値を秘密鍵と組み合わせて有効な署名を作成します。 ユーザーは単にこの調整値をプロバイダーと共有するだけです。プロバイダーは、 調整値が資金を受け取った特定のscriptPubKeyからの支払いに有効であるということ以外、 調整値から何も知ることはできません。

  一部のプロバイダーは、支払いトランザクションのお釣り用のアウトプットで、 資金を同じスクリプトテンプレートに送り返すよう要求する場合があります。 Tanの投稿では、これを簡単に実現する方法が説明されています。

• ● 研究によりBitcoinの一般的なプリミティブが量子耐性署名アルゴリズムと互換性があることが示される: Jesse Posnerは、量子耐性署名アルゴリズムが、 現在Bitcoinで使用されているBIP32 HDウォレット、サイレントペイメントアドレス、 スクリプトレスマルチシグアドレス、 スクリプトレス閾値署名と同等のプリミティブを提供することを示す研究論文のいくつかのリンクを Delving Bitcoinに投稿しました。

Bitcoin Stack Exchangeから選ばれたQ&A

Bitcoin Stack ExchangeはOptech Contributor達が疑問に対して答えを探しに（もしくは他のユーザーの質問に答える時間がある場合に）アクセスする、 数少ない情報ソースです。この月刊セクションでは、前回アップデート以降にされた、最も票を集めた質問・回答を紹介しています。

• ● Bitcoin Coreは、10ブロックを超える再編成をどのように処理しますか？ TheCharlatanは、最大10ブロック分のトランザクションのみをmempoolに再追加することでチェーンの再編成を処理する Bitcoin Coreのコードのリンクを提供しています。

• ● 暗号化ドライブと比較した署名デバイスの利点は何ですか？ RedGrittyBrickは、暗号化ドライブ上のデータは暗号化されていない状態でも抽出可能であるのに対し、 ハードウェア署名デバイスはこのようなデータ抽出攻撃を防ぐように設計されていると指摘しています。

• ● Taprootアウトプットはkeypathとscriptpathを介して使用できる？ Antoine Poinsotは、マークルツリー、鍵の調整、リーフスクリプトを使用して どのようにTaprootのkeypath支払いとscriptpath支払いが実現されているかを詳しく説明しています。

リリースとリリース候補

人気のBitcoinインフラストラクチャプロジェクトの新しいリリースとリリース候補。 新しいリリースにアップグレードしたり、リリース候補のテストを支援することを検討してください。

• ● Libsecp256k1 v0.7.0は、Bitcoinと互換性のある暗号プリミティブを含むこのライブラリのリリースです。 これまでのリリースとのAPI/ABI互換性を損なういくつかのの小さな変更が含まれています。

注目すべきコードとドキュメントの変更

最近のBitcoin Core、Core Lightning、Eclair、LDK、 LND、libsecp256k1、Hardware Wallet Interface (HWI)、Rust Bitcoin、BTCPay Server、BDK、Bitcoin Improvement Proposals（BIP）、Lightning BOLTs、 Bitcoin InquisitionおよびBINANAsの注目すべき変更点。

• ● Bitcoin Core #32521は、2500を超える署名操作（sigops）を含むレガシートランザクションを非標準とします。 これは、コンセンサスクリーンアップソフトフォークのアップグレードによって コンセンサスレベルで制限が適用される可能性があるためです。この変更なしにソフトフォークが行われた場合、 アップグレードを行っていないマイナーは軽微なDoS攻撃の標的になる可能性があります。 レガシーインプットのsigops制限の詳細については、ニュースレター#340をご覧ください。

• ● Bitcoin Core #31829は、オーファントランザクションハンドラーであるTxOrphanage（ニュースレター #304参照）にリソース制限を追加し、DoSスパム攻撃に対しても 1P1C（one-parent-one-child）パッケージリレーを維持します。 適用される制限は４つあります。（CPUと遅延コストを最小化するための）3,000オーファンアナウンスのグローバル上限、 ピアごとのオーファンアナウンスの比例上限、ピアごとの 24 × 400 kWUの予約ウェイト、 可変のグローバルメモリ上限です。いずれかの制限を超えると、ノードは、 許容量と比較して最も多くのCPUまはたメモリを使用した（ピアDoSスコアが最も高い）ピアから、 最も古いオーファンアナウンスを削除します。またこのPRでは、 ランダムにアナウンスを削除するポリシーが、オーファンセット全体を置き換えることで1P1Cリレーを無効にすることを可能にしていた ‑maxorphantxsオプション（デフォルト 100）を削除します。ニュースレター #362もご覧ください。

• ● LDK #3801は、ノードがHTLCを保持している時間を記録し、 その保持期間値を失敗の帰属のペイロードの上流に伝播するすることで、 支払い成功パスに失敗の帰属を拡張します。これまでは、 LDKは失敗した支払いの保持期間のみを追跡していました（ニュースレター#349参照）。

• ● LDK #3842は、インタラクティブなトランザクション構築ステートマシン（ニュースレター #295参照）を拡張し、スプライシングトランザクションにおける 共有インプットの署名の調整を処理します。TxAddInputメッセージのprevtxフィールドは、 メモリ使用量を削減し、検証を簡単にするためにオプションになりました。

• ● BIPs #1890は、一部のHTML 2.0 URIライブラリが+を空白スペースとして扱うため、 BIP77のセパレーターパラメーターを+から-に変更します。さらに、 非同期Payjoinプロトコルを簡単にするために、 フラグメントパラメーターは辞書の逆順ではなく、辞書順に並べる必要があります。

• ● BOLTs #1232は、すべての実装で強制されているため、 チャネルを開く際にchannel_typeフィールド（ニュースレター#165参照）を必須にします。 このPRはまた、BOLT9を更新し、channel_typeフィールドに含めることができる 機能用の新しいコンテキストタイプTを追加しています。

もっと知りたいですか？

このニュースレターで言及されたトピックについてもっと議論したい方は、 16:30 UTCに Riverside.fmで毎週配信されているBitcoin Optech Recapにご参加ください。 この議論は録画もされ、ポッドキャストページからご覧いただけます。