Blockstream’s Liquid Network wysłał 8 milionów dolarów w BTC Niebezpiecznie, mówi Bitcoin Developer.

William Foxley
Blockstream’s Liquid Network wysłał 8 milionów dolarów w BTC Niebezpiecznie, mówi Bitcoin Developer.
Bitcoiny przechowywane w Liquid Network mogły być tymczasowo przejęte przez moderatorów sieci w czwartek w nocy. Potencjalna luka w parametrach bezpieczeństwa Bitcoinów została odkryta przez założyciela firmy Summa Jamesa Prestwicha.

Liquid – sieć stworzona i nadzorowana przez Blockstream i mająca na celu szybsze przesuwanie Bitcoinów niż Bitcoin blockchain – przesunęła 870 Bitcoinów, które utknęły w kolejce od 11 czerwca w oczekiwaniu na przetworzenie.

W czwartek o 17:19 GMT, transfer wykorzystywał mniej The News Spy bezpieczne dwa z trzech awaryjnych multisig zamiast 11 z 15 zazwyczaj używane do takich transakcji. Według Prestwich’a środki były potencjalnie możliwe do przechwycenia przez około jedną godzinę.

„To nie była normalna operacja. Jeśli ktoś mówi, że jest, to się myli. To jest bezpośrednio sprzeczne z dokumentami [Liquid’s] i publicznymi oświadczeniami“, powiedział Prestwich w prywatnej wiadomości.

Przy obecnych cenach, transakcja jest wyceniona na około 8 milionów dolarów.

„Jest to znany problem spowodowany niespójnością pomiędzy blokadami czasowymi używanymi przez funkcjonariuszy Liquida [sprzętowych modułów bezpieczeństwa] a samymi funkcjonariuszami“, Neil Woodfire, dyrektor marketingu Blockstream, powiedział CoinDesk w prywatnej wiadomości. „Pomimo problemu, fundusze są zawsze bezpieczne.“

Woodfire powiedział, że „niedawny rozwój sieci Liquid“ i plany koordynacji spowodowane pandemią wirusa coronavirusowego doprowadziły do trudności w aktualizacji firmware’u związanego z blokadami czasowymi. Aktualizacje te powinny zostać wdrożone do czwartego kwartału 2020 r., powiedział.

Dodano Prestwich:

„Aby być bezpiecznym, systemy te muszą działać niezawodnie i na miejscu. W tym przypadku federacja Liquid nie zrobiła tego. W rezultacie, administrator Blockstream uruchomił backdoor, a bezpieczeństwo Liquid stało się zależne od zaufania do firmy“.

Jak działa Liquid
Liquid działa jako łańcuch boczny do sieci Bitcoinów. Wykorzystuje jeden do jednego token o nazwie L-BTC do przesyłania funduszy szybciej niż zwykła sieć, która jest nadzorowana przez federację wybranych węzłów.

Węzły te są zazwyczaj hostowane przez duże pozagiełdowe (OTC) stanowiska handlowe lub giełdy kryptograficzne. Ponadto każda transakcja musi być podpisana przez 11 z 15 organów przedstawicielskich. Liquid posiada obecnie 44 członków federacji, takich jak BitMEX, Ledger i Xapo.

Kiedy Bitcoin przechodzi na Liquid, przechodzi przez proces „pegging“, gdzie Bitcoin jest przechowywany w bezpiecznym portfelu moderowanym przez federację. LBTC jest tworzony i umarzany kiedy Bitcoin jest zdeponowany. Proces odwraca się, gdy Bitcoin jest wycofywany.

Zastrzeżenie awaryjne istnieje, gdy Bitcoin nie ruszył się z portfela przez 30 dni. W tym przypadku aktywowana jest dwu- z trzycyfrowa homologacja multisigowa w celu zachowania sieci. Odbywa się to w celu ochrony Liquid w przypadku, gdy więcej niż jedna trzecia stron zrzeszonych jest odłączona od sieci Liquid.

Zgodnie z dokumentacją techniczną Liquid:

„Jeśli jedna trzecia lub więcej sieci nigdy nie będzie w stanie kontynuować działalności, sieć utknie w martwym punkcie, a posiadane środki zostaną na zawsze zablokowane. Aby tego uniknąć, wszystkie środki znajdujące się w posiadaniu sieci Liquid są również dostępne za pomocą zestawu trzech kluczy awaryjnych, gdy sieć nie działa przez trzydzieści kolejnych dni“.

Prestwich publicznie ujawnił błąd bezpieczeństwa, ponieważ fundusze nigdy nie były zagrożone otwartą kradzieżą przez hakera, a jedynie przez osoby nadzorujące portfel awaryjny. Posiadacze tych środków pozostają anonimowi.

To, czy miało to miejsce w przeszłości, czy też nie, pozostaje otwartym i istotnym pytaniem dotyczącym bezpieczeństwa, dodał Prestwich.