Le réseau Liquid de Blockstream a envoyé 8 millions de dollars en BTC de manière non sécurisée, déclare un développeur Bitcoin

Bitcoins Les données stockées sur le réseau Liquid ont pu être temporairement saisies par les modérateurs du réseau jeudi soir. La vulnérabilité potentielle des paramètres de sécurité de la sidechain Bitcoin a été découverte par James Prestwich, fondateur de Summa.

Liquid – un réseau développé et supervisé par Blockstream et destiné à déplacer des bitcoins plus rapidement que la blockchain Bitcoin – a déplacé 870 bitcoins qui étaient bloqués dans une file d'attente depuis 11 juinen attente de traitement.

Jeudi à 17h19 GMT, les détenteurs du portefeuille multisig d'urgence deux sur trois du réseau ont eu un accès potentiel aux fonds pendant environ une heure, selon PrestwichLa transaction a été traitée normalement, en utilisant la méthode multisig 11 sur 15 du réseau.

« Ce n'était pas une opération normale. Si quelqu'un prétend le contraire, il a tort. Cela contredit directement les documents et les déclarations publiques de [Liquid] », a déclaré Prestwich dans un message privé.

Aux prix actuels, la transaction est évaluée à environ 8 millions de dollars.

« Il s'agit d'un problème connu causé par une incohérence entre les verrous temporels utilisés par les modules de sécurité matérielle de Liquid et les modules eux-mêmes », a déclaré Neil Woodfine, directeur marketing de Blockstream, à CoinDesk dans un message privé. « Malgré ce problème, les fonds sont toujours en sécurité. »

Woodfine a déclaré que la « croissance récente du réseau Liquid » et les plans de coordination mis en place par la pandémie de coronavirus ont compliqué la mise à jour du micrologiciel des verrous horaires. Ces mises à jour devraient être mises en œuvre d'ici le quatrième trimestre 2020, a-t-il précisé.

Ajout de Prestwich :

Pour être sécurisés, ces systèmes doivent fonctionner de manière fiable et conforme aux spécifications. Dans ce cas précis, la fédération Liquid n'a fait ni l'un ni l'autre. Par conséquent, la porte dérobée de l'administrateur de Blockstream s'est activée, et la sécurité de Liquid est devenue dépendante de la confiance accordée à l'entreprise.

Comment fonctionne Liquid

Liquid fonctionne comme une chaîne latérale du réseau Bitcoin . Il utilise un jeton indexé 1-à-1 appelé L-BTC pour transférer des fonds plus rapidement que le réseau classique, supervisé par une fédération de nœuds sélectionnés.

Ces nœuds sont généralement hébergés par de grandes plateformes de négociation de gré à gré (OTC) ou des plateformes d'échange de Crypto . De plus, chaque transaction doit être signée par 11 des 15 organismes représentatifs. Liquid compte actuellement 44 fédérations membres, dont BitMEX, Ledger et Xapo.

Lorsque des Bitcoin sont transférés sur Liquid, Bitcoin sont stockés dans un portefeuille sécurisé modéré par la fédération. Les LBTC sont créés et échangés lors du dépôt. Le processus s'inverse lors du retrait.

Une mise en garde d'urgence existe lorsque les bitcoins n'ont pas été transférés d'un portefeuille pendant 30 jours. Dans ce cas, une approbation multisig à deux sur trois est activée afin de préserver le réseau. Cette mesure vise à protéger Liquid si plus d'un tiers des parties fédérées sont séparées du réseau Liquid.

Selon Liquid’sdocumentation technique:

Si un tiers ou plus du réseau est incapable de continuer à fonctionner, le réseau sera bloqué et les fonds détenus seront bloqués à jamais. Pour éviter cela, tous les fonds détenus par le Liquid Network sont également accessibles via un jeu de trois clés de secours lorsque le réseau est hors service pendant trente jours consécutifs.

Prestwich a révélé publiquement l'erreur de sécurité, car les fonds n'étaient pas exposés au risque d'être volés ouvertement par un pirate informatique, mais seulement par les personnes supervisant le portefeuille d'urgence. Ces détenteurs restent anonymes.

Que cela se soit produit ou non dans le passé reste une question de sécurité ouverte et pertinente, a ajouté Prestwich.

Prestwich est également actuellement conseiller auprès de KEEP, qui a récemment lancé un jeton Bitcoin enveloppé connu sous le nom de tBTC.