November 19, 2022

Биткоин: работа продолжается. Глава 7

Технические инновации из окопов

Фото автора

Перевод NADO Book by Sjors Provoost.

Проект перевода организован HypeCoinNews.

Атаки затмения

Атака затмения — это тип атаки, которая изолирует биткоин-узел, занимая все его слоты подключения, чтобы заблокировать узел от получения каких-либо транзакций и блоков, кроме тех, которые были отправлены ему злоумышленником. Это не позволяет узлу видеть, что происходит в сети Биткоина, и потенциально даже может обманом заставить узел принять альтернативную ветвь блокчейна Биткоина. Хотя узлы никогда не примут недействительную транзакцию или блок, атака затмения все же может, как мы увидим, причинить вред.

В этой главе обсуждается, как такой тип атаки можно использовать для обмана пользователей и майнеров. В ней также рассказывается о решениях для противодействия такому типу атак, некоторые из которых были описаны в статье 2015 года «Атаки затмения на одноранговую сеть Биткоина», написанной Итаном Хейлманом, Элисон Кендлер, Авивом Зохаром и Шэрон Голдберг из Бостонского университета и Еврейского университета/MSR Israel. Многие из решений, предложенных в этой статье, постепенно внедрялись в программное обеспечение Bitcoin Core в течение нескольких последних лет. В этой главе также обсуждаются некоторые решения, которых не было в статье.

Почему атаки затмения болезненны

При нормальных обстоятельствах ваш узел подключается к внешнему миру через так называемые «исходящие узлы» числом до восьми. Внешний мир также может подключиться к вам, и для этого ваш узел допускает максимум 117 входящих пиров. В случае атаки затмения ваш узел видит только атакующего и подключается только к нему. Таким образом, вы можете думать, что разговариваете со всем миром, но на самом деле вы разговариваете только с одним человеком. Другими словами, этот человек затмевает ваш взгляд на мир.

Причина, по которой вы подключаетесь ко всем этим узлам, заключается в том, что вам нужно запрашивать у них новые транзакции и блоки. Данные передаются в обоих направлениях, независимо от того, является ли одноранговый узел входящим или исходящим. Ваши пиры могут спонтанно отправлять вам блоки и транзакции, а ваш узел, в свою очередь, будет пересылать их другим. Пока вы подключены хотя бы к одному честному узлу, вы не пропустите последние блоки и транзакции.

Атака затмения происходит, если все одноранговые узлы, к которым вы подключены, контролируются одним объектом, который вас атакует. Теперь они решают, какие блоки и транзакции будет видеть ваш узел, и вы вполне можете упустить самые последние и лучшие из них.

Но почему это важно? Они не могут отправить вам недействительный блок с фальшивой подписью, которая сделает их миллиардерами. Ваш узел по-прежнему проверяет все условия и никогда не примет подобного. Но что они могут сделать, так это провести против вас атаку двойной траты.

Допустим, вы ожидаете денег от кого-то, в данном случае от злоумышленника или кого-то, с кем он вступил в сговор и вы видите, что их транзакция появляется в вашем мемпуле — где ждут подтверждения валидные транзакции — но она еще не в блоке.

На практике жертвы часто знают, кто применил к ним двойную трату. Так, например, не рекомендуется дважды тратить деньги с биржи, если вы только что загрузили туда копию своего паспорта. Автор называет это доказательством отсидки (proof-of-prison). Вероятно, поэтому атаки с двойной тратой случаются редко, даже на альткойнах с гораздо более низким бюджетом на безопасность майнинга, чем у Биткойна (ниже мы перейдем к роли доказательства работы).

Вы можете считать этот платеж завершенным и доставить за него товар или услугу. Но оказывается, что за вашей спиной они отправили альтернативную транзакцию в остальную часть сети, которая вам не платит. Эта альтернативная транзакция двойной траты включается в блок, но ваш злоумышленник скрывает этот блок от вас. Таким образом, с вашей точки зрения, эта транзакция все еще находится в мемпуле, и вы по-прежнему не в курсе того факта, что на самом деле вы никогда не получите эти монеты.

То, что тратится дважды — это одна или несколько монет, которые формируют вход для транзакции. Биткоин-транзакция принимает монеты на входе и создает новые монеты на выходе. Вход может быть потрачен только один раз. Когда узел видит две транзакции, которые тратят одни и те же входы, он должен выбрать одну и проигнорировать другую. То же самое касается майнеров, которые решают, какой кандидат на транзакцию окажется в блоке.

Это самый простой пример атаки затмения. И это еще одна причина, по которой принимать транзакции с нулевым подтверждением — плохая идея. Смысл существования доказательства работы состоит в предотвращении двойных трат, поэтому надо, чтобы транзакция была включена в блок, и тогда вы получите защиту при помощи доказательства работы в этом блоке и во всех блоках поверх него.

В дни, предшествовавшие появлению Биткоина, проблема двойной траты была повсюду, и ее считали решаемой только путем привлечения доверенной третьей стороны. Например, при получении любой суммы в e-cash Чаума программное обеспечение на вашем компьютере немедленно сообщит вашему банку, что вы получили токены. Затем компьютер банка проверит, что эти токены никогда раньше не видели. Без этого шага одни и те же электронные деньги могли бы быть уплачены многим разным получателям.

Вот краткое описание идеи электронных денег Чаума. Чтобы получить более подробное объяснение, а также предлагаемый вариант, легший в основу Биткоина, послушайте 52-й эпизод подкаста "Биткойн, разъяснения".

Но даже если вы дождетесь подтверждения, вы еще не выбрались из леса. Атака затмения, как мы увидим, все еще возможна, но она будет уже намного дороже. Это связано с тем, что злоумышленник должен создать валидный блок, а валидность блока частично обусловлена предоставлением доказательства работы.

Допустим, вы продали что-то дорогое. Как и в предыдущем примере, атакующий сначала отправляет вам свою транзакцию, а затем отправляет конфликтующую транзакцию остальному миру, при этом следя за тем, чтобы вы ее никогда не увидели. Эта конфликтующая транзакция подтверждается, но атакующий не пересылает вам этот новый блок. Вместо этого он майнит свой собственный блок с исходной транзакцией в нем. Ваш узел сообщает вам, что транзакция подтверждена, и вы предоставляете товар или услугу.

Между тем, внешний мир обычных майнеров продолжает производить блоки, а злоумышленник продолжает прятать эти обычные блоки от вас. Атакующий не будет создавать новые блоки, потому что у него уже есть то, что ему от вас нужно. В какой-то момент он прекращает атаку, либо вы сами выясняете, что произошло, и вмешиваетесь. В любом случае, ваш узел снова подключается к легитимным узлам. Затем он узнает о более длинной цепочке, которая продолжала расти во время атаки. Несмотря на то, что в этой более длинной цепочке вам никогда не платили, ваш узел все равно переключается на нее. Полученные вами монеты, в свою очередь, исчезают.

Атака с двойной тратой также возможна и без атаки затмения, но вероятность ее успеха гораздо меньше. Во-первых, вы можете заметить конфликтующую транзакцию в собственном мемпуле и проявить дополнительную осторожность перед поставкой каких-либо товаров или услуг. И, во-вторых, если предположить, что атакующий контролирует 10 процентов хэш-мощности; его атака в 90% случаев потерпит неудачу, потому что все созданные им блоки, содержащие конфликтующую транзакцию, устаревают.

Когда два блока строятся поверх одного и того же блока, они оба одинаково валидны. По мере того, как майнеры продолжают генерировать больше блоков, они выбирают один из этих блоков для продолжения цепочки поверх него (обычно тот, который они увидели первым). В конце концов одна цепочка становится длиннее, чем другая. Блок, который больше не является частью самой длинной цепочки, называется тупиковым. Сайт https://forkmonitor.info/ отслеживает эти события и показывает оповещение, как только два блока появляются на одной высоте. Он также отслеживает, сколько блоков построено с каждой стороны, пока одна сторона не проиграет гонку, и ее блоки завершатся тупиком.

Если вы дождетесь двух подтверждений, шансы злоумышленника (скрыть альтернативную цепочку, прим. ред.) упадут до 1%. Это хорошее напоминание о том, почему для Биткоина важно быть довольно-таки дорогим, чтобы создавать блоки в альтернативных ветках, которые дважды тратят монеты, было не слишком легко. Еще в 2015 году, когда была написана статья, о которой мы упоминали выше, эти атаки были намного дешевле: 5000–10000 долларов за блок. Таким образом, атакующий имеет стимул атаковать вас, если стоимость создания фальшивого блока меньше, чем сумма денег, за которую вас обманывают. Обратите внимание, что на практике некто не может просто заказать индивидуальный блок для своей атаки, если только он не является майнером. Поскольку любая атака с двойной тратой нанесет ущерб репутации Биткоина, что уменьшит доходы майнеров, они не особенно заинтересованы в содействии таким атакам.

Однако, когда одно и то же оборудование можно использовать для майнинга нескольких монет, то нанесение некоторого ущерба репутации одной монеты оставляет возможность для добычи множества других монет. Существуют платформы, на которых люди могут арендовать хэш-мощность, и иногда они используются для проведения атаки с двойной тратой. Такая атака может быть очень дешевой, особенно когда у монеты очень мало хэш-мощности. См., например.

Производство блока стоит денег, в основном на оборудование и электричество. Честный майнер компенсирует это, продавая или одалживая монеты, созданные в транзакции coinbase. Это первая транзакция в каждом блоке, и для нее действуют особые правила. Первое правило заключается в том, что, в отличие от обычных транзакций, транзакция coinbase не имеет входов. Она создает деньги из ниоткуда, но сумма ограничена суммой субсидии блока (в настоящее время 6,25 BTC и уменьшается вдвое каждые четыре года) и всеми комиссиями, уплачиваемыми транзакциями, включенными в блок. Выходная сторона транзакции отправляет эту сумму туда, куда хочет майнер, но обычно это адрес, управляемый майнинг-пулом, который затем перераспределяет полученное.

Обычно майнер создает блок, который строится поверх последнего известного ему добытого блока. Между тем, транзакция coinbase имеет второе применяющееся всеми узлами специальное правило, которое говорит о том, что она не может быть потрачена до тех пор, пока не будет получено 101 подтверждение, то есть пока поверх него не будет построен 101 блок. Это называется зрелостью coinbase.

Кроме того, как мы объясняли в главе @sec:segwit, SegWit налагает третье специальное правило на транзакцию coinbase: она должна содержать вывод OP_RETURN с хэшем свидетельств для данного блока.

Атакующий не заботится о вознаграждении в coinbase, потому что он может (гипотетически) больше заработать на мошенничестве с вами. Вместо того, чтобы строить поверх самого последнего блока, он создает блок поверх последнего блока, о котором вы знаете. И он не транслирует этот блок в мир, поэтому никакие другие майнеры не будут майнить поверх него. Это означает, что его транзакция coinbase никогда не достигнет зрелости, поэтому затраты на производство блока не могут быть возмещены напрямую. Для майнера нет экономического смысла делать это, если только он не получит прямую выгоду от атаки… или если его не обманут, как мы объясним ниже.

Оказывается, атакующий также может попытаться отколоть от сети майнеры, и таким образом использовать их против вас без сотрудничества с ними. Чтобы это сделать, он использует атаку затмения не только против вас, но и против одного или нескольких майнеров. Затмеваемые майнеры, предположительно, меньшинство, увидят ту же транзакцию, что и вы, фактическая целевая жертва. После того, как они произведут блок, атакующий гарантирует, что ваш узел — единственный, кто увидит этот блок. Эти майнеры тоже оказываются жертвами, потому что когда блок в конечном итоге будет признан тупиковым, их транзакция coinbase исчезает точно так же, как и ваша транзакция. Нанося весь этот экономический ущерб, атакующий может украсть у вас всего сотню долларов. Поэтому нам действительно важно, чтобы атаки затмения были очень сложными.

Майнеры и операторы пулов, конечно, не наивны. Они могут запускать несколько узлов в разных странах и принимать меры предосторожности, чтобы злоумышленник не знал, какой узел затмить. Кроме того, майнинг по-прежнему несколько централизован, поэтому существуют специализированные сети, которые их соединяют, что еще больше затрудняет атаки затмения.

Одной из таких сетей для подключения майнеров является Fast Internet Bitcoin Relay Engine (FIBRE).

Но это не должно быть единственным, на что мы полагаемся для предотвращения подобных атак. К счастью, внедряется все больше и больше улучшений, призванных усложнить эти атаки.

Как работает атака затмения

До сих пор мы лишь предполагали, что атака затмения может быть проведена, в порядке объяснения, как она используется, чтобы обманом заставить вас расстаться с трудом заработанными монетами. Но как она фактически осуществляется?

Напомним сказанное выше о том, что для затмевания вашего узла злоумышленнику необходимо захватить все восемь исходящих соединений и любое количество входящих соединений, которые есть у вашего узла. Это игра в кошки-мышки, и даже до того, как была написана вышеупомянутая статья, приложение Bitcoin Core было усилено для предотвращения атак затмения. Но давайте посмотрим, как, согласно статье, предполагается преодоление существующей защиты.

Есть пара ингредиентов. Во-первых, как упоминалось в главе 2, когда узел запускается, он пытается найти другие пиры, и после того, как он некоторое время поработает, у него появится список адресов, которые он узнал от других пиров и сохранил в файле. Затем всякий раз, когда узел теряет одно из восьми своих исходящих соединений или когда перезапускается, он просматривает этот файл со всеми адресами, о которых он когда-либо слышал, и начинает случайным образом подключаться к ним.

Идея атакующего состоит в том, чтобы загрязнить этот файл, предоставив вашему узлу кучу адресов, которые либо не существуют, либо которые он (атакующий) контролирует. Таким образом, какой бы адрес ни выбрал ваш узел, каждый раз, когда он устанавливает соединение, он либо терпит неудачу, потому что там ничего нет, либо подключается к атакующему — и в конечном итоге все соединения будут вести к нему.

Атакующему также необходимо контролировать все входящие подключения к вашему узлу. Не вдаваясь в этой главе в подробности, укажем, что один из подходов состоит в том, чтобы просто делать много-много попыток подключения, пока все ваши 117 входящих слотов не будут заполнены. Со временем, возможно, в течение нескольких недель, когда честные пиры время от времени отключаются от вас, злоумышленник быстро заполняет открытые входящие слоты, не давая подключиться новым честным пирам.

Это усложняется тем, что иногда существующее входящее соединение отменяется в пользу нового.

Еще в 2012 году разработчики поняли, что атакующий может дать вашему узлу огромное количество контролируемых им IP-адресов. Допустим, у вашего узла есть 1000 реальных IP-адресов других узлов. Затем атакующий скармливает вам 9000 адресов, которые он контролирует. Когда ваш узел начинает выбирать IP-адреса, вероятность того, что он подключится к атакующему, составляет 90 процентов.

Но пока эти адреса тесно связаны, например, все они находятся в одном дата-центре, тут еще можно что-то сделать. Была введена система сегментов, которая помещает все IP-адреса с одинаковыми двумя начальными цифрами, например. 172.67.*.* в один сегмент. Затем узел будет случайным образом выбирать пиры для каждого исходящего соединения из разных сегментов.

В приведенном выше примере все IP-адреса атакующего оказываются в одном сегменте, а таких сегментов 256, поэтому шансы подключиться даже к одному узлу злоумышленника резко падают. Имейте в виду, что для защиты от атак затмения вам достаточно только одного честного пира.

Каждый сегмент также ограничен по размеру, поэтому большинство из 9000 адресов в приведенном выше примере будут выброшены из своего сегмента почти сразу же, как только туда попадут.

Наконец, в рамках того же предложения по изменению кода, узлы также начали запоминать, к кому они ранее подключались. Всякий раз, когда им нужно было новое соединение, они бросали монету и либо подключались к одному из них, либо выбирали новое из одного из 256 сегментов.

Ботнет

Можно было бы предположить, что описанная защита сработает, но такие предположения надо проверять. Авторы провели симуляцию, чтобы увидеть, насколько сложно на самом деле переполнить все сегменты, и обнаружили, что в течение нескольких дней атака вполне может увенчаться успехом.

Как они это сделали? С помощью ботнета — не настоящего, конечно, так как это, вероятно, было бы неэтично для университетских исследователей, и к тому же потенциально незаконно. Но они имитировали его работу. Ботнет — это группа случайных компьютеров по всему миру, которые были взломаны и могут управляться удаленно. Поскольку они не все находятся в одном центре обработки данных, как в нашем примере выше, их IP-адреса имеют много разных начальных цифр, поэтому они попадают в разные сегменты.

В документе подсчитано, что ботнет с менее чем 5000 компьютеров может успешно осуществить атаку затмения. Вам может показаться, что это большой ботнет, но вы можете арендовать его у различных гнусных «компаний» менее чем за 100 долларов.

Бизнес-модель ботнета.

Помимо атаки на ваш узел с разных направлений, что привело к победе над системой сегментов, гипотетический злоумышленник в статье также использовал другие слабые места.

Во-первых, он наводнил ваш узел заведомо поддельными IP-адресами. Это привело к очистке всех сегментов с поддельными узлами. Помните, что когда вашему узлу понадобится новый пир, он подбросит монету, чтобы либо подключиться к знакомому узлу, либо попробовать новый. Но никаких новых узлов, которые можно было бы попробовать, у него не оказалось.

Мы вернемся к проблеме поддельных узлов в главе 8.

При выборе альтернативы — подключения к знакомому узлу — атакующий использовал еще одну слабость. Оказывается, ваш узел считает любой узел, к которому он когда-либо подключался, «знакомым». Это относится и к узлам ботнета, которые сами соединялись с ним, пусть и ненадолго.

Исправлено в 2016 году: bitcoin/bitcoin#8594

Для этих знакомых узлов существует отдельная система из 64 сегментов, и со временем все они заполняются IP-адресами ботнета.

Не вызывайте сбоев

На данный момент у вашего узла все еще есть долговременные соединения с реальным миром, существовавшие до начала атаки, поэтому злоумышленнику все еще нужно избавиться от них. Хитрость заключается в том, чтобы либо дождаться перезапуска вашего узла, либо добиться его сбоя.

Всякий раз, когда ваш узел перезагружается, он стартует с нулевого количества подключений. Во-первых, это дает возможность очень быстро заполнить все 117 входящих слотов. И, во-вторых, он просматривает файл с известными ему пирами и пытается подключиться к ним. Если атакующему удастся доминировать во всех сегментах, ваш узел будет подключаться исключительно к IP-адресам атакующего. Это все, что нужно для запуска атаки затмения.

Узлы, которые работают на сервере, обычно автоматически перезапускаются после сбоя или перезагрузки системы, используя что-то вроде systemd.

Таким образом, хотя удалённый вызов сбоя биткоин-узла сам по себе не очень полезен в качестве атаки, он может помочь при выполнении атаки затмения. Это одна из причин, по которой разработчикам важно убедиться, что они не пишут код, который может привести к сбою узла.

Что с этим делать

Важно понимать, что подобные атаки — это игра чисел. Атакующий должен дать вашему узлу много спам-адресов, чтобы заполнить все сегменты и убедиться, что вы подключены только к ним.

Итак, одно очевидное смягчение подобной атаки - это увеличение количества сегментов. К сожалению, это мало помогает избежать изоляции, потому что удвоение количества сегментов всего лишь удваивает стоимость атаки и мы уже видели, насколько это дешево. Тем не менее, почти сразу после публикации статьи количество сегментов было увеличено в четыре раза.

Смягчить — «заставить стать менее резким или враждебным»: смягчение не является полным решением. Хотя это немного избыточно, термин «частичное смягчение» также часто используется.

Другая контрмера состоит в вышеупомянутом подбрасывании монеты. Этот бросок изначально с большей вероятностью приводил к решению попробовать новые узлы и те, о которых ваш узел узнал совсем недавно. После статьи механизм был изменен на просто подбрасывание монеты, с равновероятными результатами (в том же самом раннем предложении по редакции кода). Почему бы не пойти дальше и не подключаться только к пирам, которые ваш узел знает дольше всего? У всего есть побочные эффекты — в этом случае ваш узел может потратить слишком много времени на просмотр списка IP-адресов, которые уже недоступны.

O(n): Стоимость атаки растет линейно с количеством сегментов (n). Гораздо более сильная защита — это решение, которое увеличивает стоимость атаки квадратично — O(n^2^) — или даже экспоненциально.

Но было и другое предложенное смягчение, которое также обеспечивало искажение вероятности в сторону знакомых узлов, только более безопасным способом. Оно относилось к тому, как обрабатываются сегменты, когда они вот-вот переполнятся. Когда вы узнаете о новом адресе и хотите поместить его в сегмент и удалить что-то еще, вы сначала проверяете адрес, который уже находится в сегменте. Это означает необходимость подключения к нему, чтобы проверить, что он еще существует. Если он существует, то его не надо выбрасывать. Это называется чувствительным подключением. Такое решение было более сложным, и для его реализации потребовалось время до середины 2016 года.

Вот предложение по изменению от одного из его фактических авторов: bitcoin/bitcoin#8282

Тем не менее, другие меры по смягчению последствий заняли гораздо больше времени. Когда в январе 2021 года был выпущен Bitcoin Core 0.21.0, в него был включен новый метод предотвращения атак затмения, который был предложен в той же статье 2015 года: использование якорных соединений. При перезапуске вы пытаетесь вспомнить некоторые из последних подключений, которые у вас были. Ваш узел запоминает два соединения, с которыми он обменивается только блоками, и пытается повторно подключиться к ним.

Почему два? Всегда пытаться заново подключиться к одним и тем же узлам при перезапуске - это плохая идея, поскольку, насколько вам известно, причина сбоя в первую очередь заключается в том, что один из этих узлов был злонамеренным. Та же логика применима и к сценарию, где вас уже затмевают.

Что еще может быть сделано?

В дополнение ко многим предложениям из статьи, есть и другие вещи, которые можно сделать, и некоторые из них были реализованы.

Вы можете задаться вопросом: почему бы вам просто с самого начала не иметь как можно больше подключений? Но проблема в том, что для этого требуется большой обмен данными — особенно для транзакций в мемпуле — поэтому вы не можете просто добавить больше подключений без увеличения использования ширины канала связи.

Erlay (см. приложение А) — это предложение по уменьшению ширины канала, необходимой для синхронизации мемпула. Это снижает стоимость (ширины канала) за соединение. Более низкая стоимость соединения позволяет узлам иметь больше соединений. Наличие большего количества соединений усложняет любую схему атаки eclipse.

Еще один способ иметь больше подключений без чрезмерного увеличения ширины канала — ограничить некоторые подключения только блоками и не синхронизировать с такими пирами мемпул. Это было реализовано в 2019 году.

Наконец, есть спутники Blockstream или любые другие, или даже радиовещание. Они позволяют любому человеку в мире получать последние блоки. Это в основном полезно для людей в отдаленных районах с очень низкой пропускной способностью интернет-соединения. Но эти способы также могут обеспечить защиту и от атаки затмения. Это связано с тем, что пока ваш узел получает спутниковый сигнал, даже если все входящие и исходящие соединения перехвачены атакующим, вы все равно узнаете о новых блоках.

Обратите внимание, однако, что вы не должны слепо доверять и спутнику, ведь он точно так же может попытаться затмить вас. Но помните, что вам нужен только один честный пир, и вы достигаете этого, имея как можно более разнообразный набор соединений.

Вики по разработке Bitcoin Core также содержит обзор атак затмения и различных мер противодействия им.

Атака Эребуса

Если вы хотите узнать больше об атаках затмения, вас может заинтересовать атака Эребуса: атака затмения, при которой злоумышленник фактически подделывает целую область интернета.

Как это работает. Интернет состоит из автономных систем (АС), которые в основном представляют собой кластеры IP-адресов, принадлежащих одному и тому же субъекту, например интернет-провайдеру.

Однако оказывается, что некоторые автономные системы могут выступать в качестве узких мест при попытке связаться с другими автономными системами. Это позволяет злоумышленнику, контролирующему такое узкое место, запустить успешную атаку затмения — даже против узлов, которые подключаются к нескольким автономным системам.

Как объяснялось выше, узлы Bitcoin Core уже противостоят атакам затмения, гарантируя, что они подключены к различным IP-адресам на основе первых двух цифр IP-адреса. Можно еще улучшить эту защиту, если делить подключения на сегменты согласно их принадлежности к разным автономным системам.

Но это не мешает атаке Эребуса. На такой случай последние версии Bitcoin Core включают дополнительную функцию — ASMAP (карту автономных систем).

В этом документе объясняется, как картографирование Интернета позволило участникам Bitcoin Core создать инструмент, который гарантирует, что узлы Биткоина не только подключаются к различным автономным системам, но и избегают попадания в ловушку из-за указанных узких мест.

Поддержите проект!

Шлите ваши сатоши, используя эту LNURL ссылку с сообщением "НАДО"/"NADO"

Используя страничку,просто пользователю @c3p0rs через @lntxbot, либо [email protected] если ваш кошелёк поддерживает LN адреса.