Blockstream Bug ha aperto la rete di liquidi a 16 milioni di dollari di furto di Bitcoin

Un bug di lunga data nella Rete Liquida di Blockstream avrebbe potuto consentire il furto interno, mettendo a rischio milioni di bitcoin.

Chiavi da asporto

  • Un bug nella Rete Liquida di Blockstream avrebbe potuto permettere ai dipendenti di rubare Bitcoin con una minima autorizzazione
  • Blockstream ha implementato un workaround e sta attualmente sviluppando una soluzione permanente
  • Nessun fondo è stato effettivamente rubato durante i 18 mesi in cui il conto è stato compromesso

La Liquid Network di Blockstream conteneva fino ad oggi una vulnerabilità che avrebbe potuto permettere il furto di milioni di BTC. Il bug è stato rivelato da James Prestwich, uno sviluppatore Crypto Cash e fondatore della crypto startup Summa One.

Come funziona il bug

La vulnerabilità della sicurezza ha interessato un conto essenziale sulla Liquid Network a causa di timelock incoerenti.

Tale incoerenza avrebbe potuto consentire ai dipendenti di ritirare il Bitcoin attraverso un processo di recupero di emergenza che richiede la firma di 2 o 3 titolari di chiave per firmare una transazione. Questo bug avrebbe bypassato il corretto processo multisig, che richiede 11 su 15 titolari di chiave per firmare una transazione.

Secondo Prestwitch, il conto vulnerabile ha controllato 870 BTC (8 milioni di dollari) per oltre un’ora questa settimana. Tuttavia, il bug avrebbe potuto compromettere milioni di dollari prima dell’ultima transazione: il potenziale exploit esiste da 18 mesi e ha interessato più di 2.000 UTXO.

Risposta di Blockstream

Il CEO di Blockstream Adam Back ha risposto e ha ammesso che il bug era un „problema noto“.

Back dice che una correzione completa è in corso da un po‘ di tempo, ma è stata ritardata per diverse ragioni. Ha aggiunto che gli sviluppatori stanno attualmente lavorando con la Liquid Federation per creare e distribuire una patch finale. Al momento è in atto un workaround che risolverà il problema in modo temporaneo e limitato.

Adam Back ha notato che la gestione della situazione da parte di Blockstream „non è all’altezza del [suo] solito standard di minimizzazione della fiducia“. A credito di Blockstream, nessun fondo è stato effettivamente rubato. Inoltre, il bug apre solo la possibilità di un furto interno da parte dei dipendenti, non un attacco esterno.

Perché Blockstream è controverso

Il Blockstream e il Liquid Network sono alquanto controversi tra la comunità dei crittografi, specialmente tra la comunità Bitcoin.

Mentre Blockstream finanzia lo sviluppo della Bitcoin stessa, la Liquid Network della società è un sidechain federato che immagazzina BTC al di fuori della principale blockchain Bitcoin. Ciò significa che l’azienda mantiene un controllo significativo sui fondi degli utenti che si fidano di essa – tipicamente imprese e scambi che si affidano ad essa per i trasferimenti e la liquidazione.

È improbabile che il bug del liquido influisca sui detentori di crittografia generale. In ogni caso, la notizia è un promemoria che gli investitori che desiderano mantenere il massimo controllo sul loro Bitcoin dovrebbero farlo tenendolo nel proprio portafoglio non detentivo.

30. Juni 2020