Lightning Network · Breach Remedy · 2019–2025

Watchtower Systems
あなたが眠っている間に Lightning を守る

Lightning Network のチャネル参加者は 常時オンラインでなければ古い state(残高が攻撃者に有利な過去 commitment)の不正放送を阻止できない。 Watchtower はこの「常時監視義務」を第三者にアウトソースする仕組み。 2019 年の PISA による accountability の概念化から、Cerberus の Bitcoin-native 化、 FPPW のプライバシー保護、Sleepy Channels の「watchtower 不要設計」、そして 2025 年の TEE Watchtower による残高検証まで、 4 世代の進化を一望する。

研究領域Breach Remedy / Off-chain Security
主要プロトコルPISA · Cerberus · FPPW · Sleepy · TEE
関連 BIPBIP-118 (eltoo, 未deploy)
主要会場AFT / FC / CCS / NDSS
PISA · 2019
Accountability の起源
FPPW · α=1, β=½
Fairness × Privacy × Coverage
Sleepy · 0 watchtower
監視塔そのものを廃止
TEE · NDSS '25
SGX による残高検証
§ 1 · The Breach Problem

「24時間オンラインでなければ資金を失う」という Lightning の根本的脆弱性

Lightning の penalty 機構は、相手 (counterparty) が古い state を放送した場合、被害者が dispute window(数百〜数千ブロック)以内に justice transaction を提出することで全資金を取り戻せる、という設計に依存する。 しかし被害者が オフライン中であれば、この dispute window を見逃し、攻撃者が古い残高分布で資金を奪取する。

Step 0 / 6
Alice Honest user Bob Adversary Bitcoin Blockchain Channel: Alice 80%, Bob 20% (latest) 💤 OFFLINE vacation / phone dead Broadcast OLD commit "Alice 50%, Bob 50%" ⏳ Dispute Window: 144 blocks (~24h) Alice must submit justice TX in time ⚠ MISSED! 💰 Funds stolen
Press Play to start the attack scenario.

🔴 攻撃成立条件

  • 被害者がチャネル相手より有利な残高を持っている古い state が存在する
  • 被害者が dispute window 内に justice TX を提出できない(オフライン・通信遮断・mempool censorship)
  • 古い commitment TX のブロードキャスト後、マイナーが justice TX を含めずに攻撃者の TX を確認する

📦 Watchtower がやること

  • 被害者の代わりに blockchain を継続的に監視
  • 古い commitment TX の txid を検出
  • 事前に預けられた encrypted justice TX を復号して mempool に提出
  • 多くの場合 残高そのものは知らない(暗号化 blob)

なぜストレージが O(N) になるか

LN の penalty 機構は 各更新ごとに新しい revocation secret を生成する。N 回更新したチャネルでは、watchtower は N 個の (txid → encrypted_blob) ペアを保持する必要がある。 これが commitment number ベースの監視の根本的非効率性であり、後述の eltoo(BIP-118)が deploy されれば O(1) に圧縮される。

# 現行 LN の watchtower 状態 watchtower_state[channel_id] = [ (commitment_txid_1, encrypted_justice_tx_1), # update #1 (commitment_txid_2, encrypted_justice_tx_2), # update #2 ... (commitment_txid_N, encrypted_justice_tx_N), # update #N ] # Storage: O(N) per channel — grows forever # eltoo (BIP-118) deploy 後 watchtower_state[channel_id] = (latest_state_tx,) # Just the latest! # Storage: O(1) per channel
§ 2 · Generations Timeline

Watchtower 設計の 5 世代 — 2019 → 2025

各世代は前世代の限界を解消することを目指してきた。クリックすると詳細が表示される。

2016
Monitor
2019
PISA
2019
lnd Altruist
2020
Cerberus
2021
FPPW
2022
Sleepy
2024
CRAB
2025
TEE WT

系譜の本質

Monitor (2016) | 問題: O(N) ストレージ / インセンティブなし / プライバシーなし ↓ PISA (AFT 2019) ← Accountability + O(1) ストレージ + signed receipt | 残: Ethereum only / collateral double-spend / β=1/3 / no privacy ↓ Cerberus (FC 2020) ← Bitcoin-native + collateral on-chain link | 残: no privacy / β=1/3 / watchtower が更新時に署名 ↓ FPPW (FC 2021) ← Adaptor signatures + 弱いプライバシー + β=1/2 | 残: collateral コスト同じ / 大規模では非現実的 ↓ Sleepy Channels (CCS 2022) ← 思想転換: watchtower を完全廃止 | トレードオフ: 固定 channel lifetime T / 当事者間 collateral ↓ TEE Watchtower (NDSS 2025) ← Hot/Cold Proof + SGX による残高検証 | 残: SGX side-channel / firmware 依存
§ 3 · PISA — Accountable Watchtower (AFT 2019)

「watchtower が義務を怠れば collateral を没収される」設計の起源

McCorry · Möser · Shahandashti · Hao AFT 2019 Ethereum native

核心的貢献

  • Accountability の概念化: watchtower が監視義務を怠った場合、ユーザーが on-chain で証明し collateral を没収できる
  • O(1) ストレージ: hash(最新 state) のみ保持。Monitor 方式の O(N) からの劇的改善
  • State privacy: watchtower はチャネル状態の hash しか見ない。具体的残高は知らない
  • Application-neutral: 任意の state channel program に適用可能
1.6M
Custodian deploy gas
1.9M
State contract gas
$0.06–$0.16
予約 1 件あたり (2019)
β = 1/3
Coverage ratio
Alice User PISA Custodian w/ collateral Ethereum L1 contract ① hash(state) + signed receipt ② Justice TX on breach ③ If custodian fails → submit receipt → forfeit collateral "Append-only log of obligations" — every reservation is provable on-chain

プロトコル要件

  1. Custodian が大規模 collateral を smart contract にロック
  2. Alice が予約を作るたび、Custodian は signed receipt を返す(オフチェーン)
  3. breach 発生時、Custodian は justice TX を提出する義務がある
  4. Custodian が義務を怠った場合、Alice は signed receipt を on-chain に提出 → collateral を没収

✅ 革新点

  • 初めての 形式的 watchtower プロトコル定義
  • O(1) ストレージへの圧縮
  • State privacy(hash のみ受信)
  • Application-neutral(state channel 一般に適用)

⚠ 限界

  • Ethereum 専用(OP_CHECKSIGFROMSTACK 相当が必要)
  • Collateral double-spend 脆弱性: 複数チャネルに同じ deposit を流用できてしまう(Cerberus が指摘)
  • 残高プライバシーなし: 争議発生時に残高が公開される
  • β = 1/3 のみ(FPPW が β = 1/2 へ改善)

なぜ PISA が Bitcoin で動かないか

PISA の検証ロジックは「ユーザーが提出した signed receipt が valid であれば custodian の collateral を削減する」というステートフルな更新を要求する。 これは Ethereum の任意状態遷移型コントラクトでは自然に実装できるが、Bitcoin の Script は covenant が制限的であり、過去の receipt 履歴を参照しながら collateral 残高を削減するロジックを実装できない。

# PISA on Ethereum (擬似コード) contract PISACustodian { uint256 collateral; mapping(bytes32 => bool) acknowledged; function claim(bytes calldata receipt) external { require(verify_signature(receipt, custodian_pubkey)); require(!acknowledged[hash(receipt)]); collateral -= penalty_amount; # ← Bitcoin Script 不可 acknowledged[hash(receipt)] = true; payable(msg.sender).transfer(penalty_amount); } }

Cerberus は collateral を各チャネルにオンチェーンで紐付ける方式に変更することで、Script のみで実装可能になった。

§ 4 · Cerberus Channels — Bitcoin-Native Watchtower (FC 2020)

「PISA を Bitcoin で動かす」ための collateral on-chain link

Avarikioti · Thyfronitis Litos · Wattenhofer FC 2020 Bitcoin Script only

核心的貢献

  • Bitcoin Script のみで動作する初の incentive-付き watchtower
  • watchtower の collateral を 各チャネルに on-chain で紐付け → PISA の double-spend 脆弱性を排除
  • Continuous reward model: breach がなくても更新ごとに少額手数料を獲得
  • ユーザーは最悪でも T (> t) ブロックに 1 度オンラインになれば足りる
7 TX
最悪ケース on-chain TX/ch
β = 1/3
Coverage (PISAと同等)
c > a+b
Collateral > channel cap
3
2-of-2 multisig parties
Alice Bob Cerberus Watchtower (per-ch) Funding TX 2-of-2 (a+b) Collateral TX 2-of-2 (c > a+b) Penalty TX₁ → close ch Penalty TX₂ → seize collateral

核心メカニズム

  1. チャネル開設時、Watchtower が 専用の collateral TX を作成(2-of-2 multisig)
  2. 各チャネル更新で 2 種類の penalty TX が用意される: (a) チャネルを閉じて WT collateral を没収する、(b) Collateral TX から直接没収する
  3. Watchtower が t ブロック以内に justice TX を提出しなければ、これらの penalty TX で collateral が没収される
  4. 更新ごとに watchtower は少額の continuous fee を受け取る

→ GitHub: OrfeasLitos/cerberus-script で参考実装が公開されている

Bitcoin Script のみで動かすトリック

PISA は smart contract の状態更新が必要だったが、Cerberus は 各チャネルに対して個別の collateral TX を用意することで、 各 watchtower の義務を「その特定の TX の挙動」だけでチェックできるようにした。これにより複雑な状態遷移ロジックは不要になり、 timelock + multisig という Bitcoin Script の標準機能のみで実装できる。

# Cerberus collateral TX の Script 概念 scriptPubKey: IF <watchtower_pubkey> CHECKSIGVERIFY # Watchtower が justice TX を提出すれば回収可能 <justice_proof> CHECKSIGVERIFY ELSE <timelock_T> CHECKLOCKTIMEVERIFY DROP # T ブロック後にユーザーが回収可能(watchtower の義務不履行ペナルティ) 2 <alice> <bob> 2 CHECKMULTISIG ENDIF

残されたコスト: プライバシーの犠牲

Cerberus は watchtower がチャネルの資金分布を知る必要がある。これは PISA の state hash のみ受信するモデルからの後退であり、 Watchtower 運営者は通信から各チャネルの残高を学習できる。FPPW(次の世代)はこれを adaptor signature で解決する。

その他の限界

  • Collateral 量の制約: c > a + b(チャネル容量を超える額のロックが必要)が大規模展開で資本効率を圧迫
  • Watchtower が更新ラウンドトリップに参加する必要があり、レイテンシ・可用性が watchtower 依存になる
  • Coverage β = 1/3 は PISA と同等で改善されていない
§ 5 · FPPW — Fairness, Privacy, Privacy & Coverage (FC 2021)

α=1 完全公平 + 残高プライバシー + β=1/2 を同時達成

Mirzaei · Sakzad · Yu · Steinfeld FC 2021 Monash University

3 つの正式定義

  • α-fairness: channel parties・watchtower のいずれも最悪でも (1−α) 割の損失で済む。FPPW は α=1(完全公平)を達成
  • β-coverage: watchtower が監視できるチャネル総容量の割合。FPPW は β=1/2(PISA/Cerberus の β=1/3 から改善)
  • Channel balance privacy: watchtower は中間状態の残高を一切知らない

3 指標の比較(横軸はベター)

α-Fairness(高い方がベター, 1.0 = 完全公平)

PISA
0.6
Cerberus
0.6
FPPW
1.0

β-Coverage(高い方がベター, 1.0 = 全カバー)

PISA
1/3
Cerberus
1/3
FPPW
1/2

Balance Privacy(残高隠蔽)

PISA
部分的 (state hash)
Cerberus
なし
FPPW
弱いプライバシー (中間残高)

核心メカニズム — Adaptor Signature

従来の watchtower は split TX(残高分布を記載した TX)を受け取る必要があり、それが残高漏洩の原因だった。 FPPW は adaptor signature を使い、watchtower は commit TX に紐づく adaptor signature だけを保持する。 breach が発生した際は、commit TX の publication が witness を露呈することで watchtower が justice TX を完成・提出できるが、 split TX の内容(残高)には一切アクセスしない

# 従来 watchtower WT receives: (commit_tx, split_tx) # split_tx に Alice/Bob 残高が露出 # FPPW WT receives: (commit_tx, adaptor_sig_σ) # σ は witness を含むが、復元しないと意味がない on breach: commit_tx_published → witness w extracted → σ + w → full justice signature # Watchtower は split_tx を一度も見ない → 残高プライバシー保持

3-of-3 multisig による collateral lock

FPPW は両当事者と watchtower の 3-of-3 multisig で collateral をロックする。これにより 2 者結託(例: Alice + WT)でも 残りの 1 者(Bob)を欺けない。これが α=1 公平性の源泉である。

✅ FPPW の達成事項

  • α=1 完全公平(Cerberusより厳密に強い)
  • β=1/2 へ Coverage 改善
  • 残高プライバシー(中間状態)
  • Bitcoin Script 互換

⚠ 残った課題

  • Adaptor signature 依存(BLS 等の決定論的署名チェーンでは使えない)
  • Watchtower が更新時にオンライン必須
  • Collateral コスト c=a+b は依然大きい
  • 「弱いプライバシー」: 初期・最終残高は依然見える
§ 6 · Sleepy Channels — No Watchtower Needed (CCS 2022)

思想転換: Watchtower そのものを廃止する

Aumayr · Thyagarajan · Malavolta · Moreno-Sanchez · Maffei CCS 2022

動機: 2022 年 LN での Watchtower 試算

81,000 チャネル / 19,000 ノード / 2,990 BTC 総容量 LN の 30% をカバーする watchtower の必要 collateral ≈ 890 BTC ($39M USD) → 単一プロバイダーが引き受けるには非現実的 → "watchtower の問題が根本的に解決不能ならば、watchtower 自体をなくす"

核心アイデア: 相対タイムロック (CSV) → 絶対タイムロック (CLTV)

従来 LN(CSV)

チャネルクローズ TX が confirm されてから t ブロック以内に revocation TX を提出する必要がある。 「いつ閉じられるかわからない」ので常時監視必須

Sleepy Channels(CLTV)

絶対時刻 T (channel lifetime) を事前合意。T 以前であれば 任意のタイミングで revocation TX を提出できる。 T より前に 一度だけオンラインになれば十分。

Trade-off Slider — Lifetime T vs. Capital efficiency

Lifetime T (days): 90 days
1.0×
Online checks/T period
$8,219
Locked capital opportunity cost
~3%
Risk window
4.1×/y
Channel re-creation/year

T が長いほど capital がロックされる期間も長くなり、機会費用が増大。短い T はオフライン時の安全マージンを縮める。

UC-secure formal model

Aumayr らは "delayed finality with punish" という UC モデルを定義し、Sleepy Channels の安全性を形式的に証明した。 これにより「Bitcoin 互換のあらゆる UTXO ベース暗号通貨で動作する」という主張の根拠となっている。

338 B
開設 TX サイズ (on-chain)
2,026 B
開設 off-chain (8 TX)
2,408 B
更新 off-chain (10 TX)
−97%
危険チャネル削減 (vs LN, 0.1%/d)

Monero 互換 — VTS

Bitcoin の CLTV が使えない Monero には VTS (Verifiable Timed Signature) を使った変形版を提案。 ただし VTS はより重い暗号プリミティブで、性能オーバーヘッドが大きい。

✅ Sleepy Channels の達成事項

  • Watchtower の必要性を完全に排除
  • 890 BTC の collateral 問題を解消
  • UC 安全性証明
  • あらゆる UTXO 互換 cryptocurrency に適用可能

⚠ トレードオフ

  • 固定 channel lifetime T(T を過ぎたら閉じるか更新が必要)
  • 両当事者の collateral lock(資本効率は低下)
  • T 前に一度もオンラインにならない当事者は残高を失う
  • 活発な routing node には不向き(休眠 user / pleb 向き)
§ 7 · TEE Watchtower — SGX-based Balance Verification (NDSS 2025)

役割を「breach 監視」から「残高 verifiable 証明」へ拡張

Singh · Little · Hayes · Fang et al. NDSS 2025 / arXiv Intel SGX

解く問題: 「監査者・LSP・貸し手が LN チャネル残高を trustlessly に確認したい」

従来の watchtower は 古い state の検出・防止を担う。Singh らはこれを拡張し、 監査者・LSP・貸し手などの第三者が 「ノードが本当にこの残高を持っている」を改竄不可能に検証できる 仕組みを提案した。

SGX Enclave アーキテクチャ

LN Node Operator's Machine (untrusted) Intel SGX Enclave (trusted) LN Node Logic balance reporting zkTLS Module attestation Enclaved Chain Sync verifies BTC chain Range Proof selective disclosure Auditor / LSP Operator cannot peek no access attested proof

Hot Proof / Cold Proof の分離

🔥 Hot Proof — 日常監査

TEE + zkTLS による継続的な残高証明。監査者は ネットワーク経由でリアルタイムにチャネル残高を検証できる。

  • 低レイテンシ
  • 非対話型 attestation
  • 監査頻度: 数秒〜数分

❄ Cold Proof — 紛争時の on-chain decision

残高に関する争議が発生したとき、最終的な決着は on-chain で行う。TEE の出力を直接 chain commit する必要はなく、off-chain では Hot で十分な設計分離。

  • 紛争解決時のみ on-chain
  • TEE 故障時のフォールバック
  • Final settlement 保証

Stale State 攻撃への対策: Enclaved Chain Synchronization

TEE 内部で Bitcoin chain を直接検証する仕組み。operator が古い chain head を TEE に渡してリプレイ攻撃するのを防ぐ。 Enclave が直接 P2P でブロックヘッダを検証し、PoW チェーンの最長性を保証する。

Selective Disclosure: Range Proof

「残高が X BTC 以上」という事実だけを正確な額を非公開で証明できる。LSP が借主の担保力を確認するシナリオで重要。 ZK Range Proof により額そのものは秘匿される。

⚠ TEE のリスク

  • Side-channel 攻撃: Spectre / Meltdown / cache-timing 系。SGX のサイドチャネル耐性は実装依存
  • Firmware 依存: Intel の microcode 更新が必要。古い CPU では新しい attestation が動作しない
  • Centralization risk: SGX の attestation root が Intel に依存
  • TrustZone alternative: ARM の TEE は実装依存のバグが発見されており、「TEE = 完全に安全」とは言えない

系譜上の意義

PISA (2019) → Accountability Cerberus (2020) → Bitcoin native incentive FPPW (2021) → Privacy + Coverage Sleepy (2022) → Watchtower 不要設計 TEE WT (2025) → ハードウェアレベルでの「監視者を信頼しない」緩和 + 役割を残高 verifiable 証明に拡張
§ 8 · CRAB & Bribe & Fork — Rational Miner Bribery

Watchtower が完璧でも防げない攻撃クラス

Aumayr et al. CCS 2024 + Avarikioti et al. AFT 2024

核心の発見: Watchtower の安全性は孤立した問題ではない

Bribe & Fork (AFT 2024) は ~$125 という極めて低コストで feather fork を脅迫することで、マイナーに justice TX を censoring させる攻撃を示した。 CRAB (CCS 2024) はこれを Byzantine party + rational miner + offline victim の三者モデルに一般化した。

攻撃シーケンス

Attacker Miner Watchtower Victim (offline) ① bribe ($125 via feather-fork threat) ② broadcast OLD commit TX ③ WT sees mempool, builds justice TX ④ submit justice TX → mempool ⑤ ❌ DROP justice TX (feather-fork threat) ⑥ dispute window expires → victim loses funds

なぜ ~$125 で済むのか

# 従来の bribery (51% attack 並) attacker_cost = total_block_reward × N_blocks × hash_share_to_capture ≈ millions $ # Bribe & Fork (feather fork threat) attacker_cost = bribe_to_one_miner_pool ≈ $125 # Single major pool agreeing to censor 1 specific TX → enough! # LN channel value ≫ $125 → attack profitable in many cases

対策候補

Fee bumping mechanism

justice TX に動的に CPFP を適用してマイナーが含めるインセンティブを高める。anchor outputs と組み合わせる必要あり。

Multiple miner relay

複数の独立 mining pool に直接 justice TX を私的中継する。pool concentration 問題と表裏一体。

eltoo 移行

penalty 機構を排除し、最新 state を最良と扱う。bribery 動機そのものを根絶する。BIP-118 待ち。

Continuous monitoring

watchtower がリアルタイムで mempool 状況を監視し、censoring を検知したら他 pool に転送。

§ 9 · Comparison Matrix

5 世代の Watchtower 設計比較

列ヘッダをクリックでソート可能。

Protocol Year Venue Bitcoin-compat Storage Balance Privacy α-Fairness β-Coverage Incentive Deployment
Monitor2016WhitepaperO(N)なしconcept
PISA2019AFTEth onlyO(1)state hash≥1/31/3collateral forfeitresearch
lnd Altruist2019implO(N)encrypted blobaltruist (none)production
Cerberus2020FCO(N)1/31/3continuous feeprototype
FPPW2021FCO(N)weak (mid-state)1.01/2on breachresearch
Sleepy Channels2022CCSN/AN/AN/AN/Apeer-collateralresearch
TEE Watchtower2025NDSSO(1)range proof1.01.0SGX trustprototype

設計選択のクラスター

Accountability path

PISA → Cerberus → FPPW

「Watchtower を信頼しない」原則を保ちつつ、Bitcoin 互換性とプライバシーを段階的に追加する系譜。

Watchtower-free path

Sleepy Channels

Watchtower 自体を排除する根本的設計変更。CSV → CLTV の置換と当事者間 collateral。

Hardware trust path

TEE Watchtower

SGX による trustlessness の緩和。代わりに残高 verifiable 証明という新しい value を提供。

Adversarial reframe

CRAB / Bribe & Fork

Watchtower 単独で防げない rational miner との相互作用。Watchtower 設計の根本前提を揺さぶる。

§ 10 · Open Problems & Future Directions

2026 時点の未解決課題

★★★短期

BIP-118 (eltoo) deployment

SIGHASH_ANYPREVOUT が deploy されれば watchtower のストレージが O(N) → O(1) に圧縮される。 Bitcoin community の合意形成が停滞しており、これがブロッキング要因。

★★短期

BOLT への watchtower 仕様標準化

lnd / eclair / ldk が独自プロトコルを実装しており、実装間の互換性なし。BOLT への組み込み議論は続いているが合意形成は未達。

★★★中期

Reward watchtower のモラルハザード対策

報酬付き watchtower が breach の発生を故意に遅延・誘発するリスク。PISA の accountability でも完全には防げない。 評判 + staking + 監査メカニズムの統合設計が必要。

★★中期

競争的 watchtower マーケットプレイス

複数プロバイダーが品質・料金・評判で競争するマーケット。SLA の on-chain encoding と staking 要件設計が課題。

★★★中期

ZKP-based watchtower

watchtower がチャネル残高を知らずに breach の validity を ZK 証明する設計。 プライバシー × 機能性両立。回路設計コストと proof generation の実用性が課題。

★★中期

TEE side-channel 対策

Spectre / Meltdown / cache-timing 系の対策が SGX 側の microcode 更新に依存している。 TEE 固有のリスクをソフトウェア層で緩和する設計の研究が必要。

★★★長期

分散型 P2P watchtower ネットワーク

中央集権的サービスではなく、Tor のような anonymity set を持つ P2P 監視ネットワーク。 参加者インセンティブと Byzantine 耐性の両立が鍵。

★★長期

PCN 全体のセキュリティモデル統合

Watchtower は jamming / routing privacy / HTLC 管理と相互作用する。 統合的なセキュリティモデルとネットワーク全体の resilience 分析が必要。

研究計画として取り組める空白

  • ZKP watchtower の回路設計: 残高プライバシー保持の breach validity 証明 (CCS / CRYPTO 級)
  • P2P watchtower の incentive design: ゲーム理論 + メカニズム設計 (AFT / EC 級)
  • Sleepy Channels の lifetime 拡張: 部分的流動性確保で資本効率を維持 (FC 級)
  • CRAB 対策の formal study: Byzantine + rational + offline 三者モデルでの防御の系統的研究
§ 11 · Resources & Related Pages

関連する HTML / wiki / 論文

本サイト内のビジュアル解説

主要論文リファレンス

  • 📄 McCorry, Möser, Shahandashti, HaoPISA: Arbitration outsourcing for state channels. AFT 2019
  • 📄 Avarikioti, Thyfronitis Litos, WattenhoferCerberus Channels: Incentivizing Watchtowers for Bitcoin. FC 2020
  • 📄 Mirzaei, Sakzad, Yu, SteinfeldFPPW: A Fair and Privacy Preserving Watchtower for Bitcoin. FC 2021
  • 📄 Aumayr, Thyagarajan, Malavolta, Moreno-Sanchez, MaffeiSleepy Channels: Bi-directional Payment Channels without Watchtowers. CCS 2022
  • 📄 Aumayr, Avarikioti, Maffei et al.Securing Lightning Channels Against Rational Miners (CRAB). CCS 2024
  • 📄 Avarikioti et al.Bribe & Fork: A Re-examination of Timebomb Attacks on PCNs. AFT 2024
  • 📄 Singh, Little, Hayes, Fang et al.Verification of Lightning Network Balances via TEE. NDSS 2025