Una somma di bitcoin – qui la quotazione in tempo reale – archiviata sulla Liquid Network è stata temporaneamente sequestrata dai moderatori giovedì notte della scorsa settimana.
La potenziale vulnerabilità dei parametri nella sicurezza della sidechain Bitcoin è stata scoperta dal fondatore di Summa James Prestwich.
I fondi sono sempre al sicuro
Liquid – una rete sviluppata e supervisionata da Blockstream e destinata a spostare i bitcoin più rapidamente della blockchain Bitcoin originale – ha spostato 870 bitcoin fermi in coda dall’11 giugno in attesa di essere elaborati.
Generalmente, i fondi sarebbero sequestrabili per circa un’ora, secondo Prestwich. “Questa non è stata un’operazione normale. Se qualcuno afferma il contrario, ha torto. Contraddice direttamente i documenti e le dichiarazioni pubbliche [di Liquid]”, ha detto Prestwich in un messaggio privato.
In base ai prezzi correnti, la transazione è valutata a circa 8 milioni $. “Si tratta di un problema noto causato da un’incoerenza tra i timelock utilizzati dai funzionari Liquid [moduli di sicurezza hardware] e gli stessi funzionari”, ha detto il direttore del marketing di Blockstream Neil Woodfire in un messaggio privato.
“Nonostante tale problema, i fondi sono sempre al sicuro.” Woodfire ha affermato che “la recente crescita del liquid network” e dei piani di coordinamento nati in seguito alla pandemia di coronavirus hanno portato a difficoltà nell’aggiornamento del firmware relativo ai timelock. Tali aggiornamenti dovrebbero essere attuati entro il quarto trimestre 2020, ha affermato.
Come funziona Liquid
Liquid funziona come una sidechain per la rete Bitcoin. Utilizza un token ancorato one-to-one chiamato L-BTC per spostare i fondi più rapidamente rispetto alla rete normale, che è controllata da una federazione di nodi selezionati.
Questi nodi sono in genere ospitati da grandi banchi di trading over-the-counter (OTC) o exchange di criptovalute. Ogni transazione, inoltre, deve essere firmata da 11 dei 15 organi rappresentativi. Liquid ha attualmente 44 membri della federazione come BitMEX, Ledger e Xapo.
Quando il bitcoin passa a Liquid, passa attraverso un processo di “pegging” in cui il bitcoin viene archiviato in un portafoglio sicuro moderato dalla federazione. LBTC viene creato e riscattato quando si deposita bitcoin.
Il processo si inverte quando viene ritirato bitcoin. Quando i bitcoin non si spostano da un portafoglio per 30 giorni, parte un avviso di emergenza. In questo caso, viene attivata un’approvazione multisig two-of-three per preservare la rete.
Questo viene fatto per proteggere Liquid nel caso in cui più di un terzo delle parti federate venga separato dalla rete Liquid. Secondo la documentazione tecnica di Liquid: “Se un terzo o più della rete non fosse in grado di continuare a funzionare, la rete si bloccherebbe e i fondi detenuti rimarrebbero bloccati per sempre.
Per evitare ciò, tutti i fondi detenuti da Liquid Network sono accessibili anche tramite un set di tre chiavi di emergenza qualora la rete rimanga non funzionante per trenta giorni consecutivi.” Prestwich ha rivelato pubblicamente la falla nella sicurezza perché i fondi non sono mai stati a rischio di furto da parte di hacker, ma solo da coloro che supervisionano il portafoglio di emergenza che rimangono anonimi.
