FLOOD AND LOOT
Attaque sur le Lightning Network qui exploite le mécanisme des HTLC pour voler des fonds. Elle a été décrite en 2020 par Jona Harris et Aviv Zohar. L’attaquant contrôle deux nœuds et ouvre des canaux avec de nombreuses victimes intermédiaires. Il route un grand nombre de HTLC depuis son nœud source vers son nœud cible en passant par les victimes, puis refuse de révéler la préimage. À l’approche de l’expiration des timelocks, toutes les victimes sont contraintes de fermer unilatéralement leurs canaux au même moment, ce qui provoque une congestion massive de la blockchain. Cette congestion empêche certaines transactions de fermeture d’être confirmées à temps. Les HTLC non réclamés avant l’expiration reviennent à l’attaquant, qui peut surenchérir sur les frais grâce à RBF. Contrairement au griefing, qui gèle temporairement des fonds sans les voler, le flood-and-loot permet un vol effectif. Les chercheurs ont estimé qu’environ 85 canaux attaqués simultanément suffisent pour garantir un gain. L’attaque n’a jamais été observée en conditions réelles. Les contre-mesures proposées incluent la réduction du nombre maximal de HTLC par canal, l’adoption des anchor outputs pour ajuster dynamiquement les frais lors d’une fermeture forcée, et le raccourcissement des délais d’expiration.