Segurança e Privacidade (a fundo)

Ameaças, mitigações e o que cada um consegue ver

Eric de Castro
Atualizado em 07/06/2026

⚡ Lightning · Técnico

Já vimos as boas práticas na versão para iniciantes. Aqui olhamos os vetores de ataque reais da rede e o que cada participante consegue observar.

Ameaças e mitigações

Estado revogado (breach). Já coberto: publicar um estado antigo aciona a penalidade. O risco prático é estar offline quando isso acontece — daí os watchtowers vigiarem por você.
Travamento de canal (channel jamming). Um atacante envia HTLCs e os segura sem liquidar, ocupando os "slots" e a liquidez de um canal sem custo. Mitigações em discussão incluem cobrar por tentativas que falham e esquemas de reputação.
Corrida de tempo no fechamento forçado. Num force-close, transações de HTLC são sensíveis ao tempo: se as taxas on-chain dispararem, você precisa conseguir confirmar a sua transação antes do timeout. Os anchor outputs existem justamente para permitir aumentar a taxa depois (CPFP).
Visão confiável da blockchain. Um nó Lightning depende de enxergar a cadeia correta. Um ataque de eclipse (isolar o nó da rede Bitcoin) pode escondê-lo de uma fraude — por isso usar um nó Bitcoin próprio e bem conectado ajuda.

Resumo das ameaças da Lightning (estado revogado, channel jamming, corrida de tempo no fechamento, eclipse) e suas mitigações (watchtowers, reputação, anchor/CPFP, nó próprio).

Quem consegue ver o quê

A privacidade da Lightning é melhor que a on-chain, mas tem camadas. Vale entender o que cada observador enxerga:

Observador on-chain. Vê apenas a abertura e o fechamento dos canais — não os pagamentos no meio. Os canais Taproot melhoram isso, fazendo a abertura/fechamento parecerem gastos comuns.
Rede de gossip. Os canais públicos e suas capacidades são conhecidos por todos — o que dá pistas (mas não certeza) sobre saldos. Canais privados não aparecem.
Nó de roteamento (intermediário). Graças ao onion, só sabe de quem recebeu e para quem repassar — não a origem nem o destino. Ainda assim, correlações de tempo e valor podem vazar informação.
As pontas. Quem paga e quem recebe sabem mais. E a invoice revela o node id do destinatário — o que os caminhos cegados e os offers (BOLT 12) ajudam a esconder.

O que cada observador vê na Lightning: observador on-chain (abre/fecha), rede de gossip (canais públicos), nó de roteamento (só vizinhos), e as pontas (sabem mais).

Em resumo

Para um nó não-custodial saudável: rode (ou confie em) um watchtower, use anchor outputs, mantenha um nó Bitcoin próprio, prefira canais privados quando privacidade importa, e acompanhe a evolução para Taproot e BOLT 12.

Para fechar a trilha técnica, uma referência das mensagens do protocolo.