]> git.bitcoin.ninja Git - rust-lightning/blob - lightning/src/util/config.rs
Use AChannelManager in BackgroundProcessor
[rust-lightning] / lightning / src / util / config.rs
1 // This file is Copyright its original authors, visible in version control
2 // history.
3 //
4 // This file is licensed under the Apache License, Version 2.0 <LICENSE-APACHE
5 // or http://www.apache.org/licenses/LICENSE-2.0> or the MIT license
6 // <LICENSE-MIT or http://opensource.org/licenses/MIT>, at your option.
7 // You may not use this file except in accordance with one or both of these
8 // licenses.
9
10 //! Various user-configurable channel limits and settings which ChannelManager
11 //! applies for you.
12
13 use crate::ln::channel::MAX_FUNDING_SATOSHIS_NO_WUMBO;
14 use crate::ln::channelmanager::{BREAKDOWN_TIMEOUT, MAX_LOCAL_BREAKDOWN_TIMEOUT};
15
16 #[cfg(fuzzing)]
17 use crate::util::ser::Readable;
18
19 /// Configuration we set when applicable.
20 ///
21 /// Default::default() provides sane defaults.
22 #[derive(Copy, Clone, Debug)]
23 pub struct ChannelHandshakeConfig {
24         /// Confirmations we will wait for before considering the channel locked in.
25         /// Applied only for inbound channels (see ChannelHandshakeLimits::max_minimum_depth for the
26         /// equivalent limit applied to outbound channels).
27         ///
28         /// A lower-bound of 1 is applied, requiring all channels to have a confirmed commitment
29         /// transaction before operation. If you wish to accept channels with zero confirmations, see
30         /// [`UserConfig::manually_accept_inbound_channels`] and
31         /// [`ChannelManager::accept_inbound_channel_from_trusted_peer_0conf`].
32         ///
33         /// Default value: 6.
34         ///
35         /// [`ChannelManager::accept_inbound_channel`]: crate::ln::channelmanager::ChannelManager::accept_inbound_channel
36         /// [`ChannelManager::accept_inbound_channel_from_trusted_peer_0conf`]: crate::ln::channelmanager::ChannelManager::accept_inbound_channel_from_trusted_peer_0conf
37         pub minimum_depth: u32,
38         /// Set to the number of blocks we require our counterparty to wait to claim their money (ie
39         /// the number of blocks we have to punish our counterparty if they broadcast a revoked
40         /// transaction).
41         ///
42         /// This is one of the main parameters of our security model. We (or one of our watchtowers) MUST
43         /// be online to check for revoked transactions on-chain at least once every our_to_self_delay
44         /// blocks (minus some margin to allow us enough time to broadcast and confirm a transaction,
45         /// possibly with time in between to RBF the spending transaction).
46         ///
47         /// Meanwhile, asking for a too high delay, we bother peer to freeze funds for nothing in
48         /// case of an honest unilateral channel close, which implicitly decrease the economic value of
49         /// our channel.
50         ///
51         /// Default value: [`BREAKDOWN_TIMEOUT`], we enforce it as a minimum at channel opening so you
52         /// can tweak config to ask for more security, not less.
53         pub our_to_self_delay: u16,
54         /// Set to the smallest value HTLC we will accept to process.
55         ///
56         /// This value is sent to our counterparty on channel-open and we close the channel any time
57         /// our counterparty misbehaves by sending us an HTLC with a value smaller than this.
58         ///
59         /// Default value: 1. If the value is less than 1, it is ignored and set to 1, as is required
60         /// by the protocol.
61         pub our_htlc_minimum_msat: u64,
62         /// Sets the percentage of the channel value we will cap the total value of outstanding inbound
63         /// HTLCs to.
64         ///
65         /// This can be set to a value between 1-100, where the value corresponds to the percent of the
66         /// channel value in whole percentages.
67         ///
68         /// Note that:
69         /// * If configured to another value than the default value 10, any new channels created with
70         /// the non default value will cause versions of LDK prior to 0.0.104 to refuse to read the
71         /// `ChannelManager`.
72         ///
73         /// * This caps the total value for inbound HTLCs in-flight only, and there's currently
74         /// no way to configure the cap for the total value of outbound HTLCs in-flight.
75         ///
76         /// * The requirements for your node being online to ensure the safety of HTLC-encumbered funds
77         /// are different from the non-HTLC-encumbered funds. This makes this an important knob to
78         /// restrict exposure to loss due to being offline for too long.
79         /// See [`ChannelHandshakeConfig::our_to_self_delay`] and [`ChannelConfig::cltv_expiry_delta`]
80         /// for more information.
81         ///
82         /// Default value: 10.
83         /// Minimum value: 1, any values less than 1 will be treated as 1 instead.
84         /// Maximum value: 100, any values larger than 100 will be treated as 100 instead.
85         pub max_inbound_htlc_value_in_flight_percent_of_channel: u8,
86         /// If set, we attempt to negotiate the `scid_privacy` (referred to as `scid_alias` in the
87         /// BOLTs) option for outbound private channels. This provides better privacy by not including
88         /// our real on-chain channel UTXO in each invoice and requiring that our counterparty only
89         /// relay HTLCs to us using the channel's SCID alias.
90         ///
91         /// If this option is set, channels may be created that will not be readable by LDK versions
92         /// prior to 0.0.106, causing [`ChannelManager`]'s read method to return a
93         /// [`DecodeError::InvalidValue`].
94         ///
95         /// Note that setting this to true does *not* prevent us from opening channels with
96         /// counterparties that do not support the `scid_alias` option; we will simply fall back to a
97         /// private channel without that option.
98         ///
99         /// Ignored if the channel is negotiated to be announced, see
100         /// [`ChannelHandshakeConfig::announced_channel`] and
101         /// [`ChannelHandshakeLimits::force_announced_channel_preference`] for more.
102         ///
103         /// Default value: false. This value is likely to change to true in the future.
104         ///
105         /// [`ChannelManager`]: crate::ln::channelmanager::ChannelManager
106         /// [`DecodeError::InvalidValue`]: crate::ln::msgs::DecodeError::InvalidValue
107         pub negotiate_scid_privacy: bool,
108         /// Set to announce the channel publicly and notify all nodes that they can route via this
109         /// channel.
110         ///
111         /// This should only be set to true for nodes which expect to be online reliably.
112         ///
113         /// As the node which funds a channel picks this value this will only apply for new outbound
114         /// channels unless [`ChannelHandshakeLimits::force_announced_channel_preference`] is set.
115         ///
116         /// Default value: false.
117         pub announced_channel: bool,
118         /// When set, we commit to an upfront shutdown_pubkey at channel open. If our counterparty
119         /// supports it, they will then enforce the mutual-close output to us matches what we provided
120         /// at intialization, preventing us from closing to an alternate pubkey.
121         ///
122         /// This is set to true by default to provide a slight increase in security, though ultimately
123         /// any attacker who is able to take control of a channel can just as easily send the funds via
124         /// lightning payments, so we never require that our counterparties support this option.
125         ///
126         /// The upfront key committed is provided from [`SignerProvider::get_shutdown_scriptpubkey`].
127         ///
128         /// Default value: true.
129         ///
130         /// [`SignerProvider::get_shutdown_scriptpubkey`]: crate::sign::SignerProvider::get_shutdown_scriptpubkey
131         pub commit_upfront_shutdown_pubkey: bool,
132         /// The Proportion of the channel value to configure as counterparty's channel reserve,
133         /// i.e., `their_channel_reserve_satoshis` for both outbound and inbound channels.
134         ///
135         /// `their_channel_reserve_satoshis` is the minimum balance that the other node has to maintain
136         /// on their side, at all times.
137         /// This ensures that if our counterparty broadcasts a revoked state, we can punish them by
138         /// claiming at least this value on chain.
139         ///
140         /// Channel reserve values greater than 30% could be considered highly unreasonable, since that
141         /// amount can never be used for payments.
142         /// Also, if our selected channel reserve for counterparty and counterparty's selected
143         /// channel reserve for us sum up to equal or greater than channel value, channel negotiations
144         /// will fail.
145         ///
146         /// Note: Versions of LDK earlier than v0.0.104 will fail to read channels with any channel reserve
147         /// other than the default value.
148         ///
149         /// Default value: 1% of channel value, i.e., configured as 10,000 millionths.
150         /// Minimum value: If the calculated proportional value is less than 1000 sats, it will be treated
151         ///                as 1000 sats instead, which is a safe implementation-specific lower bound.
152         /// Maximum value: 1,000,000, any values larger than 1 Million will be treated as 1 Million (or 100%)
153         ///                instead, although channel negotiations will fail in that case.
154         pub their_channel_reserve_proportional_millionths: u32,
155         /// If set, we attempt to negotiate the `anchors_zero_fee_htlc_tx`option for all future
156         /// channels. This feature requires having a reserve of onchain funds readily available to bump
157         /// transactions in the event of a channel force close to avoid the possibility of losing funds.
158         ///
159         /// Note that if you wish accept inbound channels with anchor outputs, you must enable
160         /// [`UserConfig::manually_accept_inbound_channels`] and manually accept them with
161         /// [`ChannelManager::accept_inbound_channel`]. This is done to give you the chance to check
162         /// whether your reserve of onchain funds is enough to cover the fees for all existing and new
163         /// channels featuring anchor outputs in the event of a force close.
164         ///
165         /// If this option is set, channels may be created that will not be readable by LDK versions
166         /// prior to 0.0.116, causing [`ChannelManager`]'s read method to return a
167         /// [`DecodeError::InvalidValue`].
168         ///
169         /// Note that setting this to true does *not* prevent us from opening channels with
170         /// counterparties that do not support the `anchors_zero_fee_htlc_tx` option; we will simply
171         /// fall back to a `static_remote_key` channel.
172         ///
173         /// LDK will not support the legacy `option_anchors` commitment version due to a discovered
174         /// vulnerability after its deployment. For more context, see the [`SIGHASH_SINGLE + update_fee
175         /// Considered Harmful`] mailing list post.
176         ///
177         /// Default value: false. This value is likely to change to true in the future.
178         ///
179         /// [`ChannelManager`]: crate::ln::channelmanager::ChannelManager
180         /// [`ChannelManager::accept_inbound_channel`]: crate::ln::channelmanager::ChannelManager::accept_inbound_channel
181         /// [`DecodeError::InvalidValue`]: crate::ln::msgs::DecodeError::InvalidValue
182         /// [`SIGHASH_SINGLE + update_fee Considered Harmful`]: https://lists.linuxfoundation.org/pipermail/lightning-dev/2020-September/002796.html
183         pub negotiate_anchors_zero_fee_htlc_tx: bool,
184
185         /// The maximum number of HTLCs in-flight from our counterparty towards us at the same time.
186         ///
187         /// Increasing the value can help improve liquidity and stability in
188         /// routing at the cost of higher long term disk / DB usage.
189         ///
190         /// Note: Versions of LDK earlier than v0.0.115 will fail to read channels with a configuration
191         /// other than the default value.
192         ///
193         /// Default value: 50
194         /// Maximum value: 483, any values larger will be treated as 483.
195         ///                     This is the BOLT #2 spec limit on `max_accepted_htlcs`.
196         pub our_max_accepted_htlcs: u16,
197 }
198
199 impl Default for ChannelHandshakeConfig {
200         fn default() -> ChannelHandshakeConfig {
201                 ChannelHandshakeConfig {
202                         minimum_depth: 6,
203                         our_to_self_delay: BREAKDOWN_TIMEOUT,
204                         our_htlc_minimum_msat: 1,
205                         max_inbound_htlc_value_in_flight_percent_of_channel: 10,
206                         negotiate_scid_privacy: false,
207                         announced_channel: false,
208                         commit_upfront_shutdown_pubkey: true,
209                         their_channel_reserve_proportional_millionths: 10_000,
210                         negotiate_anchors_zero_fee_htlc_tx: false,
211                         our_max_accepted_htlcs: 50,
212                 }
213         }
214 }
215
216 // When fuzzing, we want to allow the fuzzer to pick any configuration parameters. Thus, we
217 // implement Readable here in a naive way (which is a bit easier for the fuzzer to handle). We
218 // don't really want to ever expose this to users (if we did we'd want to use TLVs).
219 #[cfg(fuzzing)]
220 impl Readable for ChannelHandshakeConfig {
221         fn read<R: crate::io::Read>(reader: &mut R) -> Result<Self, crate::ln::msgs::DecodeError> {
222                 Ok(Self {
223                         minimum_depth: Readable::read(reader)?,
224                         our_to_self_delay: Readable::read(reader)?,
225                         our_htlc_minimum_msat: Readable::read(reader)?,
226                         max_inbound_htlc_value_in_flight_percent_of_channel: Readable::read(reader)?,
227                         negotiate_scid_privacy: Readable::read(reader)?,
228                         announced_channel: Readable::read(reader)?,
229                         commit_upfront_shutdown_pubkey: Readable::read(reader)?,
230                         their_channel_reserve_proportional_millionths: Readable::read(reader)?,
231                         negotiate_anchors_zero_fee_htlc_tx: Readable::read(reader)?,
232                         our_max_accepted_htlcs: Readable::read(reader)?,
233                 })
234         }
235 }
236
237 /// Optional channel limits which are applied during channel creation.
238 ///
239 /// These limits are only applied to our counterparty's limits, not our own.
240 ///
241 /// Use 0/`<type>::max_value()` as appropriate to skip checking.
242 ///
243 /// Provides sane defaults for most configurations.
244 ///
245 /// Most additional limits are disabled except those with which specify a default in individual
246 /// field documentation. Note that this may result in barely-usable channels, but since they
247 /// are applied mostly only to incoming channels that's not much of a problem.
248 #[derive(Copy, Clone, Debug)]
249 pub struct ChannelHandshakeLimits {
250         /// Minimum allowed satoshis when a channel is funded. This is supplied by the sender and so
251         /// only applies to inbound channels.
252         ///
253         /// Default value: 0.
254         pub min_funding_satoshis: u64,
255         /// Maximum allowed satoshis when a channel is funded. This is supplied by the sender and so
256         /// only applies to inbound channels.
257         ///
258         /// Default value: 2^24 - 1.
259         pub max_funding_satoshis: u64,
260         /// The remote node sets a limit on the minimum size of HTLCs we can send to them. This allows
261         /// you to limit the maximum minimum-size they can require.
262         ///
263         /// Default value: u64::max_value.
264         pub max_htlc_minimum_msat: u64,
265         /// The remote node sets a limit on the maximum value of pending HTLCs to them at any given
266         /// time to limit their funds exposure to HTLCs. This allows you to set a minimum such value.
267         ///
268         /// Default value: 0.
269         pub min_max_htlc_value_in_flight_msat: u64,
270         /// The remote node will require we keep a certain amount in direct payment to ourselves at all
271         /// time, ensuring that we are able to be punished if we broadcast an old state. This allows to
272         /// you limit the amount which we will have to keep to ourselves (and cannot use for HTLCs).
273         ///
274         /// Default value: u64::max_value.
275         pub max_channel_reserve_satoshis: u64,
276         /// The remote node sets a limit on the maximum number of pending HTLCs to them at any given
277         /// time. This allows you to set a minimum such value.
278         ///
279         /// Default value: 0.
280         pub min_max_accepted_htlcs: u16,
281         /// Before a channel is usable the funding transaction will need to be confirmed by at least a
282         /// certain number of blocks, specified by the node which is not the funder (as the funder can
283         /// assume they aren't going to double-spend themselves).
284         /// This config allows you to set a limit on the maximum amount of time to wait.
285         ///
286         /// Default value: 144, or roughly one day and only applies to outbound channels.
287         pub max_minimum_depth: u32,
288         /// Whether we implicitly trust funding transactions generated by us for our own outbound
289         /// channels to not be double-spent.
290         ///
291         /// If this is set, we assume that our own funding transactions are *never* double-spent, and
292         /// thus we can trust them without any confirmations. This is generally a reasonable
293         /// assumption, given we're the only ones who could ever double-spend it (assuming we have sole
294         /// control of the signing keys).
295         ///
296         /// You may wish to un-set this if you allow the user to (or do in an automated fashion)
297         /// double-spend the funding transaction to RBF with an alternative channel open.
298         ///
299         /// This only applies if our counterparty set their confirmations-required value to 0, and we
300         /// always trust our own funding transaction at 1 confirmation irrespective of this value.
301         /// Thus, this effectively acts as a `min_minimum_depth`, with the only possible values being
302         /// `true` (0) and `false` (1).
303         ///
304         /// Default value: true
305         pub trust_own_funding_0conf: bool,
306         /// Set to force an incoming channel to match our announced channel preference in
307         /// [`ChannelHandshakeConfig::announced_channel`].
308         ///
309         /// For a node which is not online reliably, this should be set to true and
310         /// [`ChannelHandshakeConfig::announced_channel`] set to false, ensuring that no announced (aka public)
311         /// channels will ever be opened.
312         ///
313         /// Default value: true.
314         pub force_announced_channel_preference: bool,
315         /// Set to the amount of time we're willing to wait to claim money back to us.
316         ///
317         /// Not checking this value would be a security issue, as our peer would be able to set it to
318         /// max relative lock-time (a year) and we would "lose" money as it would be locked for a long time.
319         ///
320         /// Default value: 2016, which we also enforce as a maximum value so you can tweak config to
321         /// reduce the loss of having useless locked funds (if your peer accepts)
322         pub their_to_self_delay: u16
323 }
324
325 impl Default for ChannelHandshakeLimits {
326         fn default() -> Self {
327                 ChannelHandshakeLimits {
328                         min_funding_satoshis: 0,
329                         max_funding_satoshis: MAX_FUNDING_SATOSHIS_NO_WUMBO,
330                         max_htlc_minimum_msat: <u64>::max_value(),
331                         min_max_htlc_value_in_flight_msat: 0,
332                         max_channel_reserve_satoshis: <u64>::max_value(),
333                         min_max_accepted_htlcs: 0,
334                         trust_own_funding_0conf: true,
335                         max_minimum_depth: 144,
336                         force_announced_channel_preference: true,
337                         their_to_self_delay: MAX_LOCAL_BREAKDOWN_TIMEOUT,
338                 }
339         }
340 }
341
342 // When fuzzing, we want to allow the fuzzer to pick any configuration parameters. Thus, we
343 // implement Readable here in a naive way (which is a bit easier for the fuzzer to handle). We
344 // don't really want to ever expose this to users (if we did we'd want to use TLVs).
345 #[cfg(fuzzing)]
346 impl Readable for ChannelHandshakeLimits {
347         fn read<R: crate::io::Read>(reader: &mut R) -> Result<Self, crate::ln::msgs::DecodeError> {
348                 Ok(Self {
349                         min_funding_satoshis: Readable::read(reader)?,
350                         max_funding_satoshis: Readable::read(reader)?,
351                         max_htlc_minimum_msat: Readable::read(reader)?,
352                         min_max_htlc_value_in_flight_msat: Readable::read(reader)?,
353                         max_channel_reserve_satoshis: Readable::read(reader)?,
354                         min_max_accepted_htlcs: Readable::read(reader)?,
355                         trust_own_funding_0conf: Readable::read(reader)?,
356                         max_minimum_depth: Readable::read(reader)?,
357                         force_announced_channel_preference: Readable::read(reader)?,
358                         their_to_self_delay: Readable::read(reader)?,
359                 })
360         }
361 }
362
363 /// Options for how to set the max dust HTLC exposure allowed on a channel. See
364 /// [`ChannelConfig::max_dust_htlc_exposure`] for details.
365 #[derive(Copy, Clone, Debug, PartialEq, Eq)]
366 pub enum MaxDustHTLCExposure {
367         /// This sets a fixed limit on the total dust exposure in millisatoshis. Setting this too low
368         /// may prevent the sending or receipt of low-value HTLCs on high-traffic nodes, however this
369         /// limit is very important to prevent stealing of large amounts of dust HTLCs by miners
370         /// through [fee griefing
371         /// attacks](https://lists.linuxfoundation.org/pipermail/lightning-dev/2020-May/002714.html).
372         ///
373         /// Note that if the feerate increases significantly, without a manual increase
374         /// to this maximum the channel may be unable to send/receive HTLCs between the maximum dust
375         /// exposure and the new minimum value for HTLCs to be economically viable to claim.
376         FixedLimitMsat(u64),
377         /// This sets a multiplier on the estimated high priority feerate (sats/KW, as obtained from
378         /// [`FeeEstimator`]) to determine the maximum allowed dust exposure. If this variant is used
379         /// then the maximum dust exposure in millisatoshis is calculated as:
380         /// `high_priority_feerate_per_kw * value`. For example, with our default value
381         /// `FeeRateMultiplier(5000)`:
382         ///
383         /// - For the minimum fee rate of 1 sat/vByte (250 sat/KW, although the minimum
384         /// defaults to 253 sats/KW for rounding, see [`FeeEstimator`]), the max dust exposure would
385         /// be 253 * 5000 = 1,265,000 msats.
386         /// - For a fee rate of 30 sat/vByte (7500 sat/KW), the max dust exposure would be
387         /// 7500 * 5000 = 37,500,000 msats.
388         ///
389         /// This allows the maximum dust exposure to automatically scale with fee rate changes.
390         ///
391         /// Note, if you're using a third-party fee estimator, this may leave you more exposed to a
392         /// fee griefing attack, where your fee estimator may purposely overestimate the fee rate,
393         /// causing you to accept more dust HTLCs than you would otherwise.
394         ///
395         /// This variant is primarily meant to serve pre-anchor channels, as HTLC fees being included
396         /// on HTLC outputs means your channel may be subject to more dust exposure in the event of
397         /// increases in fee rate.
398         ///
399         /// # Backwards Compatibility
400         /// This variant only became available in LDK 0.0.116, so if you downgrade to a prior version
401         /// by default this will be set to a [`Self::FixedLimitMsat`] of 5,000,000 msat.
402         ///
403         /// [`FeeEstimator`]: crate::chain::chaininterface::FeeEstimator
404         FeeRateMultiplier(u64),
405 }
406
407 impl_writeable_tlv_based_enum!(MaxDustHTLCExposure, ;
408         (1, FixedLimitMsat),
409         (3, FeeRateMultiplier),
410 );
411
412 /// Options which apply on a per-channel basis and may change at runtime or based on negotiation
413 /// with our counterparty.
414 #[derive(Copy, Clone, Debug, PartialEq, Eq)]
415 pub struct ChannelConfig {
416         /// Amount (in millionths of a satoshi) charged per satoshi for payments forwarded outbound
417         /// over the channel.
418         /// This may be allowed to change at runtime in a later update, however doing so must result in
419         /// update messages sent to notify all nodes of our updated relay fee.
420         ///
421         /// Default value: 0.
422         pub forwarding_fee_proportional_millionths: u32,
423         /// Amount (in milli-satoshi) charged for payments forwarded outbound over the channel, in
424         /// excess of [`forwarding_fee_proportional_millionths`].
425         /// This may be allowed to change at runtime in a later update, however doing so must result in
426         /// update messages sent to notify all nodes of our updated relay fee.
427         ///
428         /// The default value of a single satoshi roughly matches the market rate on many routing nodes
429         /// as of July 2021. Adjusting it upwards or downwards may change whether nodes route through
430         /// this node.
431         ///
432         /// Default value: 1000.
433         ///
434         /// [`forwarding_fee_proportional_millionths`]: ChannelConfig::forwarding_fee_proportional_millionths
435         pub forwarding_fee_base_msat: u32,
436         /// The difference in the CLTV value between incoming HTLCs and an outbound HTLC forwarded over
437         /// the channel this config applies to.
438         ///
439         /// This is analogous to [`ChannelHandshakeConfig::our_to_self_delay`] but applies to in-flight
440         /// HTLC balance when a channel appears on-chain whereas
441         /// [`ChannelHandshakeConfig::our_to_self_delay`] applies to the remaining
442         /// (non-HTLC-encumbered) balance.
443         ///
444         /// Thus, for HTLC-encumbered balances to be enforced on-chain when a channel is force-closed,
445         /// we (or one of our watchtowers) MUST be online to check for broadcast of the current
446         /// commitment transaction at least once per this many blocks (minus some margin to allow us
447         /// enough time to broadcast and confirm a transaction, possibly with time in between to RBF
448         /// the spending transaction).
449         ///
450         /// Default value: 72 (12 hours at an average of 6 blocks/hour).
451         /// Minimum value: [`MIN_CLTV_EXPIRY_DELTA`], any values less than this will be treated as
452         ///                [`MIN_CLTV_EXPIRY_DELTA`] instead.
453         ///
454         /// [`MIN_CLTV_EXPIRY_DELTA`]: crate::ln::channelmanager::MIN_CLTV_EXPIRY_DELTA
455         pub cltv_expiry_delta: u16,
456         /// Limit our total exposure to in-flight HTLCs which are burned to fees as they are too
457         /// small to claim on-chain.
458         ///
459         /// When an HTLC present in one of our channels is below a "dust" threshold, the HTLC will
460         /// not be claimable on-chain, instead being turned into additional miner fees if either
461         /// party force-closes the channel. Because the threshold is per-HTLC, our total exposure
462         /// to such payments may be sustantial if there are many dust HTLCs present when the
463         /// channel is force-closed.
464         ///
465         /// The dust threshold for each HTLC is based on the `dust_limit_satoshis` for each party in a
466         /// channel negotiated throughout the channel open process, along with the fees required to have
467         /// a broadcastable HTLC spending transaction. When a channel supports anchor outputs
468         /// (specifically the zero fee HTLC transaction variant), this threshold no longer takes into
469         /// account the HTLC transaction fee as it is zero. Because of this, you may want to set this
470         /// value to a fixed limit for channels using anchor outputs, while the fee rate multiplier
471         /// variant is primarily intended for use with pre-anchor channels.
472         ///
473         /// The selected limit is applied for sent, forwarded, and received HTLCs and limits the total
474         /// exposure across all three types per-channel.
475         ///
476         /// Default value: [`MaxDustHTLCExposure::FeeRateMultiplier`] with a multiplier of 5000.
477         pub max_dust_htlc_exposure: MaxDustHTLCExposure,
478         /// The additional fee we're willing to pay to avoid waiting for the counterparty's
479         /// `to_self_delay` to reclaim funds.
480         ///
481         /// When we close a channel cooperatively with our counterparty, we negotiate a fee for the
482         /// closing transaction which both sides find acceptable, ultimately paid by the channel
483         /// funder/initiator.
484         ///
485         /// When we are the funder, because we have to pay the channel closing fee, we bound the
486         /// acceptable fee by our [`ChannelCloseMinimum`] and [`NonAnchorChannelFee`] fees, with the upper bound increased by
487         /// this value. Because the on-chain fee we'd pay to force-close the channel is kept near our
488         /// [`NonAnchorChannelFee`] feerate during normal operation, this value represents the additional fee we're
489         /// willing to pay in order to avoid waiting for our counterparty's to_self_delay to reclaim our
490         /// funds.
491         ///
492         /// When we are not the funder, we require the closing transaction fee pay at least our
493         /// [`ChannelCloseMinimum`] fee estimate, but allow our counterparty to pay as much fee as they like.
494         /// Thus, this value is ignored when we are not the funder.
495         ///
496         /// Default value: 1000 satoshis.
497         ///
498         /// [`NonAnchorChannelFee`]: crate::chain::chaininterface::ConfirmationTarget::NonAnchorChannelFee
499         /// [`ChannelCloseMinimum`]: crate::chain::chaininterface::ConfirmationTarget::ChannelCloseMinimum
500         pub force_close_avoidance_max_fee_satoshis: u64,
501         /// If set, allows this channel's counterparty to skim an additional fee off this node's inbound
502         /// HTLCs. Useful for liquidity providers to offload on-chain channel costs to end users.
503         ///
504         /// Usage:
505         /// - The payee will set this option and set its invoice route hints to use [intercept scids]
506         ///   generated by this channel's counterparty.
507         /// - The counterparty will get an [`HTLCIntercepted`] event upon payment forward, and call
508         ///   [`forward_intercepted_htlc`] with less than the amount provided in
509         ///   [`HTLCIntercepted::expected_outbound_amount_msat`]. The difference between the expected and
510         ///   actual forward amounts is their fee. See
511         ///   <https://github.com/BitcoinAndLightningLayerSpecs/lsp/tree/main/LSPS2#flow-lsp-trusts-client-model>
512         ///   for how this feature may be used in the LSP use case.
513         ///
514         /// # Note
515         /// It's important for payee wallet software to verify that [`PaymentClaimable::amount_msat`] is
516         /// as-expected if this feature is activated, otherwise they may lose money!
517         /// [`PaymentClaimable::counterparty_skimmed_fee_msat`] provides the fee taken by the
518         /// counterparty.
519         ///
520         /// # Note
521         /// Switching this config flag on may break compatibility with versions of LDK prior to 0.0.116.
522         /// Unsetting this flag between restarts may lead to payment receive failures.
523         ///
524         /// Default value: false.
525         ///
526         /// [intercept scids]: crate::ln::channelmanager::ChannelManager::get_intercept_scid
527         /// [`forward_intercepted_htlc`]: crate::ln::channelmanager::ChannelManager::forward_intercepted_htlc
528         /// [`HTLCIntercepted`]: crate::events::Event::HTLCIntercepted
529         /// [`HTLCIntercepted::expected_outbound_amount_msat`]: crate::events::Event::HTLCIntercepted::expected_outbound_amount_msat
530         /// [`PaymentClaimable::amount_msat`]: crate::events::Event::PaymentClaimable::amount_msat
531         /// [`PaymentClaimable::counterparty_skimmed_fee_msat`]: crate::events::Event::PaymentClaimable::counterparty_skimmed_fee_msat
532         //  TODO: link to bLIP when it's merged
533         pub accept_underpaying_htlcs: bool,
534 }
535
536 impl ChannelConfig {
537         /// Applies the given [`ChannelConfigUpdate`] as a partial update to the [`ChannelConfig`].
538         pub fn apply(&mut self, update: &ChannelConfigUpdate) {
539                 if let Some(forwarding_fee_proportional_millionths) = update.forwarding_fee_proportional_millionths {
540                         self.forwarding_fee_proportional_millionths = forwarding_fee_proportional_millionths;
541                 }
542                 if let Some(forwarding_fee_base_msat) = update.forwarding_fee_base_msat {
543                         self.forwarding_fee_base_msat = forwarding_fee_base_msat;
544                 }
545                 if let Some(cltv_expiry_delta) = update.cltv_expiry_delta {
546                         self.cltv_expiry_delta = cltv_expiry_delta;
547                 }
548                 if let Some(max_dust_htlc_exposure_msat) = update.max_dust_htlc_exposure_msat {
549                         self.max_dust_htlc_exposure = max_dust_htlc_exposure_msat;
550                 }
551                 if let Some(force_close_avoidance_max_fee_satoshis) = update.force_close_avoidance_max_fee_satoshis {
552                         self.force_close_avoidance_max_fee_satoshis = force_close_avoidance_max_fee_satoshis;
553                 }
554         }
555 }
556
557 impl Default for ChannelConfig {
558         /// Provides sane defaults for most configurations (but with zero relay fees!).
559         fn default() -> Self {
560                 ChannelConfig {
561                         forwarding_fee_proportional_millionths: 0,
562                         forwarding_fee_base_msat: 1000,
563                         cltv_expiry_delta: 6 * 12, // 6 blocks/hour * 12 hours
564                         max_dust_htlc_exposure: MaxDustHTLCExposure::FeeRateMultiplier(5000),
565                         force_close_avoidance_max_fee_satoshis: 1000,
566                         accept_underpaying_htlcs: false,
567                 }
568         }
569 }
570
571 impl crate::util::ser::Writeable for ChannelConfig {
572         fn write<W: crate::util::ser::Writer>(&self, writer: &mut W) -> Result<(), crate::io::Error> {
573                 let max_dust_htlc_exposure_msat_fixed_limit = match self.max_dust_htlc_exposure {
574                         MaxDustHTLCExposure::FixedLimitMsat(limit) => limit,
575                         MaxDustHTLCExposure::FeeRateMultiplier(_) => 5_000_000,
576                 };
577                 write_tlv_fields!(writer, {
578                         (0, self.forwarding_fee_proportional_millionths, required),
579                         (1, self.accept_underpaying_htlcs, (default_value, false)),
580                         (2, self.forwarding_fee_base_msat, required),
581                         (3, self.max_dust_htlc_exposure, required),
582                         (4, self.cltv_expiry_delta, required),
583                         (6, max_dust_htlc_exposure_msat_fixed_limit, required),
584                         // ChannelConfig serialized this field with a required type of 8 prior to the introduction of
585                         // LegacyChannelConfig. To make sure that serialization is not compatible with this one, we use
586                         // the next required type of 10, which if seen by the old serialization will always fail.
587                         (10, self.force_close_avoidance_max_fee_satoshis, required),
588                 });
589                 Ok(())
590         }
591 }
592
593 impl crate::util::ser::Readable for ChannelConfig {
594         fn read<R: crate::io::Read>(reader: &mut R) -> Result<Self, crate::ln::msgs::DecodeError> {
595                 let mut forwarding_fee_proportional_millionths = 0;
596                 let mut accept_underpaying_htlcs = false;
597                 let mut forwarding_fee_base_msat = 1000;
598                 let mut cltv_expiry_delta = 6 * 12;
599                 let mut max_dust_htlc_exposure_msat = None;
600                 let mut max_dust_htlc_exposure_enum = None;
601                 let mut force_close_avoidance_max_fee_satoshis = 1000;
602                 read_tlv_fields!(reader, {
603                         (0, forwarding_fee_proportional_millionths, required),
604                         (1, accept_underpaying_htlcs, (default_value, false)),
605                         (2, forwarding_fee_base_msat, required),
606                         (3, max_dust_htlc_exposure_enum, option),
607                         (4, cltv_expiry_delta, required),
608                         // Has always been written, but became optionally read in 0.0.116
609                         (6, max_dust_htlc_exposure_msat, option),
610                         (10, force_close_avoidance_max_fee_satoshis, required),
611                 });
612                 let max_dust_htlc_fixed_limit = max_dust_htlc_exposure_msat.unwrap_or(5_000_000);
613                 let max_dust_htlc_exposure_msat = max_dust_htlc_exposure_enum
614                         .unwrap_or(MaxDustHTLCExposure::FixedLimitMsat(max_dust_htlc_fixed_limit));
615                 Ok(Self {
616                         forwarding_fee_proportional_millionths,
617                         accept_underpaying_htlcs,
618                         forwarding_fee_base_msat,
619                         cltv_expiry_delta,
620                         max_dust_htlc_exposure: max_dust_htlc_exposure_msat,
621                         force_close_avoidance_max_fee_satoshis,
622                 })
623         }
624 }
625
626 /// A parallel struct to [`ChannelConfig`] to define partial updates.
627 #[allow(missing_docs)]
628 pub struct ChannelConfigUpdate {
629         pub forwarding_fee_proportional_millionths: Option<u32>,
630         pub forwarding_fee_base_msat: Option<u32>,
631         pub cltv_expiry_delta: Option<u16>,
632         pub max_dust_htlc_exposure_msat: Option<MaxDustHTLCExposure>,
633         pub force_close_avoidance_max_fee_satoshis: Option<u64>,
634 }
635
636 impl Default for ChannelConfigUpdate {
637         fn default() -> ChannelConfigUpdate {
638                 ChannelConfigUpdate {
639                         forwarding_fee_proportional_millionths: None,
640                         forwarding_fee_base_msat: None,
641                         cltv_expiry_delta: None,
642                         max_dust_htlc_exposure_msat: None,
643                         force_close_avoidance_max_fee_satoshis: None,
644                 }
645         }
646 }
647
648 impl From<ChannelConfig> for ChannelConfigUpdate {
649         fn from(config: ChannelConfig) -> ChannelConfigUpdate {
650                 ChannelConfigUpdate {
651                         forwarding_fee_proportional_millionths: Some(config.forwarding_fee_proportional_millionths),
652                         forwarding_fee_base_msat: Some(config.forwarding_fee_base_msat),
653                         cltv_expiry_delta: Some(config.cltv_expiry_delta),
654                         max_dust_htlc_exposure_msat: Some(config.max_dust_htlc_exposure),
655                         force_close_avoidance_max_fee_satoshis: Some(config.force_close_avoidance_max_fee_satoshis),
656                 }
657         }
658 }
659
660 /// Legacy version of [`ChannelConfig`] that stored the static
661 /// [`ChannelHandshakeConfig::announced_channel`] and
662 /// [`ChannelHandshakeConfig::commit_upfront_shutdown_pubkey`] fields.
663 #[derive(Copy, Clone, Debug)]
664 pub(crate) struct LegacyChannelConfig {
665         pub(crate) options: ChannelConfig,
666         /// Deprecated but may still be read from. See [`ChannelHandshakeConfig::announced_channel`] to
667         /// set this when opening/accepting a channel.
668         pub(crate) announced_channel: bool,
669         /// Deprecated but may still be read from. See
670         /// [`ChannelHandshakeConfig::commit_upfront_shutdown_pubkey`] to set this when
671         /// opening/accepting a channel.
672         pub(crate) commit_upfront_shutdown_pubkey: bool,
673 }
674
675 impl Default for LegacyChannelConfig {
676         fn default() -> Self {
677                 Self {
678                         options: ChannelConfig::default(),
679                         announced_channel: false,
680                         commit_upfront_shutdown_pubkey: true,
681                 }
682         }
683 }
684
685 impl crate::util::ser::Writeable for LegacyChannelConfig {
686         fn write<W: crate::util::ser::Writer>(&self, writer: &mut W) -> Result<(), crate::io::Error> {
687                 let max_dust_htlc_exposure_msat_fixed_limit = match self.options.max_dust_htlc_exposure {
688                         MaxDustHTLCExposure::FixedLimitMsat(limit) => limit,
689                         MaxDustHTLCExposure::FeeRateMultiplier(_) => 5_000_000,
690                 };
691                 write_tlv_fields!(writer, {
692                         (0, self.options.forwarding_fee_proportional_millionths, required),
693                         (1, max_dust_htlc_exposure_msat_fixed_limit, required),
694                         (2, self.options.cltv_expiry_delta, required),
695                         (3, self.options.force_close_avoidance_max_fee_satoshis, (default_value, 1000)),
696                         (4, self.announced_channel, required),
697                         (5, self.options.max_dust_htlc_exposure, required),
698                         (6, self.commit_upfront_shutdown_pubkey, required),
699                         (8, self.options.forwarding_fee_base_msat, required),
700                 });
701                 Ok(())
702         }
703 }
704
705 impl crate::util::ser::Readable for LegacyChannelConfig {
706         fn read<R: crate::io::Read>(reader: &mut R) -> Result<Self, crate::ln::msgs::DecodeError> {
707                 let mut forwarding_fee_proportional_millionths = 0;
708                 let mut max_dust_htlc_exposure_msat_fixed_limit = None;
709                 let mut cltv_expiry_delta = 0;
710                 let mut force_close_avoidance_max_fee_satoshis = 1000;
711                 let mut announced_channel = false;
712                 let mut commit_upfront_shutdown_pubkey = false;
713                 let mut forwarding_fee_base_msat = 0;
714                 let mut max_dust_htlc_exposure_enum = None;
715                 read_tlv_fields!(reader, {
716                         (0, forwarding_fee_proportional_millionths, required),
717                         // Has always been written, but became optionally read in 0.0.116
718                         (1, max_dust_htlc_exposure_msat_fixed_limit, option),
719                         (2, cltv_expiry_delta, required),
720                         (3, force_close_avoidance_max_fee_satoshis, (default_value, 1000u64)),
721                         (4, announced_channel, required),
722                         (5, max_dust_htlc_exposure_enum, option),
723                         (6, commit_upfront_shutdown_pubkey, required),
724                         (8, forwarding_fee_base_msat, required),
725                 });
726                 let max_dust_htlc_exposure_msat_fixed_limit =
727                         max_dust_htlc_exposure_msat_fixed_limit.unwrap_or(5_000_000);
728                 let max_dust_htlc_exposure_msat = max_dust_htlc_exposure_enum
729                         .unwrap_or(MaxDustHTLCExposure::FixedLimitMsat(max_dust_htlc_exposure_msat_fixed_limit));
730                 Ok(Self {
731                         options: ChannelConfig {
732                                 forwarding_fee_proportional_millionths,
733                                 max_dust_htlc_exposure: max_dust_htlc_exposure_msat,
734                                 cltv_expiry_delta,
735                                 force_close_avoidance_max_fee_satoshis,
736                                 forwarding_fee_base_msat,
737                                 accept_underpaying_htlcs: false,
738                         },
739                         announced_channel,
740                         commit_upfront_shutdown_pubkey,
741                 })
742         }
743 }
744
745 /// Top-level config which holds ChannelHandshakeLimits and ChannelConfig.
746 ///
747 /// Default::default() provides sane defaults for most configurations
748 /// (but currently with 0 relay fees!)
749 #[derive(Copy, Clone, Debug)]
750 pub struct UserConfig {
751         /// Channel handshake config that we propose to our counterparty.
752         pub channel_handshake_config: ChannelHandshakeConfig,
753         /// Limits applied to our counterparty's proposed channel handshake config settings.
754         pub channel_handshake_limits: ChannelHandshakeLimits,
755         /// Channel config which affects behavior during channel lifetime.
756         pub channel_config: ChannelConfig,
757         /// If this is set to false, we will reject any HTLCs which were to be forwarded over private
758         /// channels. This prevents us from taking on HTLC-forwarding risk when we intend to run as a
759         /// node which is not online reliably.
760         ///
761         /// For nodes which are not online reliably, you should set all channels to *not* be announced
762         /// (using [`ChannelHandshakeConfig::announced_channel`] and
763         /// [`ChannelHandshakeLimits::force_announced_channel_preference`]) and set this to false to
764         /// ensure you are not exposed to any forwarding risk.
765         ///
766         /// Note that because you cannot change a channel's announced state after creation, there is no
767         /// way to disable forwarding on public channels retroactively. Thus, in order to change a node
768         /// from a publicly-announced forwarding node to a private non-forwarding node you must close
769         /// all your channels and open new ones. For privacy, you should also change your node_id
770         /// (swapping all private and public key material for new ones) at that time.
771         ///
772         /// Default value: false.
773         pub accept_forwards_to_priv_channels: bool,
774         /// If this is set to false, we do not accept inbound requests to open a new channel.
775         /// Default value: true.
776         pub accept_inbound_channels: bool,
777         /// If this is set to true, the user needs to manually accept inbound requests to open a new
778         /// channel.
779         ///
780         /// When set to true, [`Event::OpenChannelRequest`] will be triggered once a request to open a
781         /// new inbound channel is received through a [`msgs::OpenChannel`] message. In that case, a
782         /// [`msgs::AcceptChannel`] message will not be sent back to the counterparty node unless the
783         /// user explicitly chooses to accept the request.
784         ///
785         /// Default value: false.
786         ///
787         /// [`Event::OpenChannelRequest`]: crate::events::Event::OpenChannelRequest
788         /// [`msgs::OpenChannel`]: crate::ln::msgs::OpenChannel
789         /// [`msgs::AcceptChannel`]: crate::ln::msgs::AcceptChannel
790         pub manually_accept_inbound_channels: bool,
791         ///  If this is set to true, LDK will intercept HTLCs that are attempting to be forwarded over
792         ///  fake short channel ids generated via [`ChannelManager::get_intercept_scid`]. Upon HTLC
793         ///  intercept, LDK will generate an [`Event::HTLCIntercepted`] which MUST be handled by the user.
794         ///
795         ///  Setting this to true may break backwards compatibility with LDK versions < 0.0.113.
796         ///
797         ///  Default value: false.
798         ///
799         /// [`ChannelManager::get_intercept_scid`]: crate::ln::channelmanager::ChannelManager::get_intercept_scid
800         /// [`Event::HTLCIntercepted`]: crate::events::Event::HTLCIntercepted
801         pub accept_intercept_htlcs: bool,
802         /// If this is set to false, when receiving a keysend payment we'll fail it if it has multiple
803         /// parts. If this is set to true, we'll accept the payment.
804         ///
805         /// Setting this to true will break backwards compatibility upon downgrading to an LDK
806         /// version < 0.0.116 while receiving an MPP keysend. If we have already received an MPP
807         /// keysend, downgrading will cause us to fail to deserialize [`ChannelManager`].
808         ///
809         /// Default value: false.
810         ///
811         /// [`ChannelManager`]: crate::ln::channelmanager::ChannelManager
812         pub accept_mpp_keysend: bool,
813 }
814
815 impl Default for UserConfig {
816         fn default() -> Self {
817                 UserConfig {
818                         channel_handshake_config: ChannelHandshakeConfig::default(),
819                         channel_handshake_limits: ChannelHandshakeLimits::default(),
820                         channel_config: ChannelConfig::default(),
821                         accept_forwards_to_priv_channels: false,
822                         accept_inbound_channels: true,
823                         manually_accept_inbound_channels: false,
824                         accept_intercept_htlcs: false,
825                         accept_mpp_keysend: false,
826                 }
827         }
828 }
829
830 // When fuzzing, we want to allow the fuzzer to pick any configuration parameters. Thus, we
831 // implement Readable here in a naive way (which is a bit easier for the fuzzer to handle). We
832 // don't really want to ever expose this to users (if we did we'd want to use TLVs).
833 #[cfg(fuzzing)]
834 impl Readable for UserConfig {
835         fn read<R: crate::io::Read>(reader: &mut R) -> Result<Self, crate::ln::msgs::DecodeError> {
836                 Ok(Self {
837                         channel_handshake_config: Readable::read(reader)?,
838                         channel_handshake_limits: Readable::read(reader)?,
839                         channel_config: Readable::read(reader)?,
840                         accept_forwards_to_priv_channels: Readable::read(reader)?,
841                         accept_inbound_channels: Readable::read(reader)?,
842                         manually_accept_inbound_channels: Readable::read(reader)?,
843                         accept_intercept_htlcs: Readable::read(reader)?,
844                         accept_mpp_keysend: Readable::read(reader)?,
845                 })
846         }
847 }