Liquid Network di Blockstream ha inviato 8 milioni di $ in BTC in modo non sicuro, afferma uno sviluppatore Bitcoin

Bitcoin memorizzati sulla Liquid Network sono stati temporaneamente sequestrati dai moderatori della rete giovedì sera. La potenziale vulnerabilità nei parametri di sicurezza della sidechain Bitcoin è stata scoperta da Il fondatore di Summa, James Prestwich.

Liquid, una rete sviluppata e supervisionata da Blockstream e pensata per spostare i bitcoin più rapidamente della blockchain Bitcoin , ha spostato 870 bitcoin che erano rimasti bloccati in coda da 11 giugnoin attesa di essere elaborata.

Giovedì alle 17:19 GMT, i titolari del portafoglio multisig di emergenza due su tre della rete hanno avuto accesso potenziale ai fondi per circa ONE , secondo PrestwichLa transazione è stata elaborata normalmente, utilizzando il metodo multisig 11-of-15 della rete.

"Questa non è stata un'operazione normale. Se qualcuno dice che lo è, si sbaglia. Ciò contraddice direttamente i documenti [di Liquid] e le dichiarazioni pubbliche", ha detto Prestwich in un messaggio privato.

Ai prezzi attuali, la transazione è valutata circa 8 milioni di dollari.

"Si tratta di un problema noto causato da un'incoerenza tra i timelock utilizzati dal funzionario di Liquid [moduli di sicurezza hardware] e i funzionari stessi", ha detto a CoinDesk in un messaggio privato il direttore marketing di Blockstream, Neil Woodfine. "Nonostante il problema, i fondi sono sempre al sicuro".

Woodfine ha affermato che "la recente crescita della Liquid Network" e i piani di coordinamento causati dalla pandemia di coronavirus hanno portato a difficoltà nell'aggiornamento del firmware relativo ai timelock. Tali aggiornamenti dovrebbero essere implementati entro il quarto trimestre del 2020, ha affermato.

Aggiunto Prestwich:

"Per essere sicuri, questi sistemi devono funzionare in modo affidabile e conforme alle specifiche. In questo caso, la federazione Liquid non ha fatto né l'una né l'altra cosa. Di conseguenza, si è attivata la backdoor dell'amministratore di Blockstream e la sicurezza di Liquid è diventata dipendente dalla fiducia nell'azienda."

Come funziona Liquid

Liquid funziona come sidechain per la rete Bitcoin . Utilizza un token pegged uno a uno chiamato L-BTC per spostare i fondi più rapidamente rispetto alla rete normale, che è supervisionata da una federazione di nodi selezionati.

Tali nodi sono solitamente ospitati da grandi desk di trading over-the-counter (OTC) o exchange Cripto . Ogni transazione, inoltre, deve essere firmata da 11 dei 15 organismi rappresentativi. Liquid ha attualmente 44 membri della federazione come BitMEX, Ledger e Xapo.

Quando Bitcoin si sposta su Liquid, passa attraverso un processo di "peg-in" in cui Bitcoin viene conservato in un portafoglio sicuro moderato dalla federazione. LBTC viene creato e riscattato quando Bitcoin viene depositato. Il processo si inverte quando Bitcoin viene ritirato.

Esiste un'avvertenza di emergenza quando i bitcoin non vengono spostati da un portafoglio per 30 giorni. In quel caso, viene attivata un'approvazione multisig due su tre per preservare la rete. Ciò viene fatto per proteggere Liquid nel caso in cui più di un terzo delle parti federate vengano separate dalla Liquid Network.

Secondo Liquiddocumentazione tecnica:

"Se un terzo o più della rete non fosse in grado di continuare a funzionare, la rete si bloccherebbe e i fondi trattenuti verrebbero bloccati per sempre. Per evitare ciò, tutti i fondi detenuti dalla Liquid Network sono accessibili anche tramite un set di tre chiavi di emergenza quando la rete non è funzionante per trenta giorni consecutivi."

Prestwich ha reso pubblico l'errore di sicurezza perché i fondi non sono mai stati a rischio di essere rubati apertamente da un hacker, ma solo da coloro che supervisionavano il portafoglio di emergenza. Quei detentori rimangono anonimi.

Se ciò sia accaduto o meno in passato resta una questione di sicurezza aperta e pertinente, ha aggiunto Prestwich.

Prestwich è attualmente anche consulente di KEEP, che ha recentemente lanciato un token bitcoin avvolto noto come tBTC.