La red Liquid de Blockstream envió $8 millones en BTC de forma insegura, afirma un desarrollador de Bitcoin

Bitcoins Los moderadores de la red pudieron incautar temporalmente los datos almacenados en Liquid Network el jueves por la noche. La posible vulnerabilidad en los parámetros de seguridad de la cadena lateral de Bitcoin fue descubierta por... El fundador de Summa, James Prestwich.

Liquid, una red desarrollada y supervisada por Blockstream y diseñada para mover bitcoins más rápido que la cadena de bloques de Bitcoin , movió 870 bitcoins que habían estado atascados en una cola desde 11 de junioesperando ser procesado.

El jueves a las 17:19 GMT, los titulares de la billetera multifirma de emergencia dos de tres de la red tuvieron acceso potencial a los fondos durante aproximadamente una hora. según PrestwichLa transacción se procesó normalmente, utilizando el método multifirma 11 de 15 de la red.

“Esta no fue una operación normal. Si alguien dice que lo fue, se equivoca. Contradice directamente los documentos y las declaraciones públicas de Liquid”, declaró Prestwich en un mensaje privado.

A los precios actuales, la transacción está valorada en aproximadamente 8 millones de dólares.

“Este es un problema conocido causado por una inconsistencia entre los bloqueos de tiempo utilizados por los módulos de seguridad de hardware de Liquid y los propios funcionarios”, declaró Neil Woodfine, director de marketing de Blockstream, a CoinDesk en un mensaje privado. “A pesar del problema, los fondos siempre están seguros”.

Woodfine afirmó que el reciente crecimiento de la Red Liquid y los planes de coordinación derivados de la pandemia de coronavirus han dificultado la actualización del firmware relacionado con los bloqueos de tiempo. Dichas actualizaciones deberían implementarse para el cuarto trimestre de 2020, afirmó.

Se agregó Prestwich:

Para ser seguros, estos sistemas deben funcionar de forma fiable y conforme a las especificaciones. En este caso, la federación de Liquid no cumplió ninguna de las dos. Como resultado, se activó la puerta trasera del administrador de Blockstream y la seguridad de Liquid pasó a depender de la confianza en la empresa.

Cómo funciona Liquid

Liquid funciona como una cadena lateral de la red Bitcoin . Utiliza un token vinculado uno a uno llamado L-BTC para mover fondos con mayor rapidez que la red tradicional, supervisada por una federación de nodos seleccionados.

Estos nodos suelen estar alojados por grandes mesas de negociación extrabursátiles (OTC) o plataformas de intercambio de Cripto . Además, cada transacción debe estar firmada por 11 de los 15 organismos representativos. Liquid cuenta actualmente con 44 miembros de la federación, como BitMEX, Ledger y Xapo.

Cuando Bitcoin se transfiere a Liquid, pasa por un proceso de "vinculación" donde Bitcoin almacena en una billetera segura moderada por la federación. El LBTC se crea y se canjea al depositar Bitcoin . El proceso se invierte al retirar Bitcoin .

Existe una advertencia de emergencia cuando los bitcoins no se han transferido de una billetera durante 30 días. En ese caso, se activa una aprobación multifirma de dos de tres para preservar la red. Esto se hace para proteger a Liquid en caso de que más de un tercio de las partes federadas se separen de la red Liquid.

Según Liquiddocumentación técnica:

Si un tercio o más de la red deja de funcionar, esta se paralizará y los fondos depositados quedarán bloqueados indefinidamente. Para evitarlo, todos los fondos de Liquid Network también son accesibles mediante un conjunto de tres claves de emergencia cuando la red no funciona durante treinta días consecutivos.

Prestwich divulgó públicamente el error de seguridad porque los fondos nunca estuvieron en riesgo de ser robados abiertamente por un hacker, sino solo por quienes administraban la billetera de emergencia. Estos titulares permanecen en el anonimato.

Si esto ha sucedido o no en el pasado sigue siendo una cuestión de seguridad abierta y pertinente, añadió Prestwich.

Prestwich también es actualmente asesor de KEEP, que recientemente lanzó un token de bitcoin envuelto conocido como tBTC.