A Liquid Network da Blockstream enviou US$ 8 milhões em BTC de forma insegura, diz desenvolvedor de Bitcoin

Bitcoins armazenados na Liquid Network puderam ser temporariamente apreendidos pelos moderadores da rede na quinta-feira à noite. A vulnerabilidade potencial nos parâmetros de segurança da sidechain do Bitcoin foi descoberta por Fundador da Summa, James Prestwich.

Liquid – uma rede desenvolvida e supervisionada pela Blockstream e destinada a movimentar bitcoins mais rapidamente do que o blockchain do Bitcoin – movimentou 870 bitcoins que estavam presos em uma fila desde 11 de junhoaguardando para ser processado.

Ocorrendo na quinta-feira às 17:19 GMT, os detentores da carteira multisig de emergência dois-de-três da rede tiveram acesso potencial aos fundos por cerca de uma hora, de acordo com Prestwich. A transação foi processada normalmente, usando o método multisig 11 de 15 da rede.

“Esta não foi uma operação normal. Se alguém disser que é, está errado. Ela contradiz diretamente os documentos e declarações públicas [da Liquid]”, disse Prestwich em uma mensagem privada.

Aos preços atuais, a transação está avaliada em aproximadamente US$ 8 milhões.

“Este é um problema conhecido causado por uma inconsistência entre os timelocks usados ​​pelos [módulos de segurança de hardware] funcionais da Liquid e os próprios funcionais”, disse o diretor de marketing da Blockstream, Neil Woodfine, à CoinDesk em uma mensagem privada. “Apesar do problema, os fundos estão sempre seguros.”

Woodfine disse que “o crescimento recente na Liquid Network” e os planos de coordenação causados pela pandemia do coronavírus levaram à dificuldade de atualizar o firmware relacionado aos timelocks. Essas atualizações devem ser implementadas até o quarto trimestre de 2020, disse ele.

Adicionado Prestwich:

"Para serem seguros, esses sistemas devem operar de forma confiável e de acordo com as especificações. Neste caso, a federação Liquid não fez nenhuma das duas coisas. Como resultado, o backdoor do administrador da Blockstream foi ativado, e a segurança da Liquid tornou-se dependente da confiança na empresa."

Como o Liquid funciona

Liquid opera como uma sidechain para a rede Bitcoin . Ele usa um token indexado um-para-um chamado L-BTC para movimentar fundos mais rapidamente do que a rede regular, que é supervisionada por uma federação de nós selecionados.

Esses nós são normalmente hospedados por grandes mesas de negociação de balcão (OTC) ou exchanges de Cripto . Cada transação, além disso, deve ser assinada por 11 de 15 órgãos representativos. A Liquid atualmente tem 44 membros da federação, como BitMEX, Ledger e Xapo.

Quando o Bitcoin é movido para a Liquid, ele passa por um processo de “peg-in” onde o Bitcoin é armazenado em uma carteira segura moderada pela federação. O LBTC é criado e resgatado quando o Bitcoin é depositado. O processo se reverte quando o Bitcoin é sacado.

Uma advertência de emergência existe quando os bitcoins não são movidos de uma carteira por 30 dias. Nesse caso, uma aprovação multisig de dois de três é ativada para preservar a rede. Isso é feito para proteger a Liquid no caso de mais de um terço das partes federadas serem separadas da Liquid Network.

De acordo com a Liquid’sdocumentação técnica:

“Se um terço ou mais da rede não puder continuar operando, a rede pararia e os fundos mantidos seriam bloqueados para sempre. Para evitar isso, todos os fundos mantidos pela Liquid Network também são acessíveis por um conjunto de três chaves de emergência quando a rede não estiver funcional por trinta dias consecutivos.”

Prestwich divulgou o erro de segurança publicamente porque os fundos nunca correram o risco de serem roubados abertamente por um hacker, mas apenas por aqueles que supervisionavam a carteira de emergência. Esses detentores permanecem anônimos.

Se isso aconteceu ou não no passado continua sendo uma questão de segurança pertinente e em aberto, acrescentou Prestwich.

Prestwich também é atualmente consultor da KEEP, que lançou recentemente um token de bitcoin encapsulado conhecido como tBTC.