‘$8 miljoen aan Bitcoin (BTC) op Liquid was niet veilig’, zegt ontwikkelaar
Afgelopen donderdag stond 870 Bitcoin (BTC) op het Liquid Network niet veilig (genoeg) opgeslagen. Dat schrijft James Prestwich op Twitter. Door een probleem met timelocks en een niet onderhouden firmware, was deze BTC (ten onrechte) terecht gekomen in een speciaal ontwikkeld vangnet.
Bitcoin op Liquid
Liquid is een sidechain dat is ontwikkeld door het bedrijf Blockstream. Je kunt Bitcoin van de mainchain locken en hier krijg je dan L-BTC voor terug. Deze Liquid BTC kun je vervolgens via de sidechain versturen op een snellere en meer confidentiële manier.
De sidechain wordt in leven gehouden door een federatie van exchanges en custodials. Daarmee is het dus echt fundamenteel anders dan Bitcoin. De mainchain is namelijk permissieloos en gedecentraliseerd. Liquid is dat niet.
Liquid is bedacht onder het mom van ‘als je toch al Bitcoin verstuurt van de ene exchange naar de andere beurs, kun je deze sidechain ook wel gebruiken’. Je moet immers beide partijen toch al vertrouwen.
Maar … Prestwich kwam er achter dat er donderdagavond Bitcoin op het Liquid Network in beslag kon worden genomen door de moderators.
Volgens Prestwich hadden de eigenaren van een vangnet voor de L-BTC op het netwerk (een twee-uit-drie multisig wallet) donderdagmiddag even kort toegang tot het geld. De TXO (transactie output) verstreek namelijk de 2015 blocks, waardoor dit vangnet werd geactiveerd.
I felt comfortable disclosing publicly because no one but the trusted operators could exploit the issue, and the issue would not interfere with normal operation
when pinged, a blockstream employee didn't bother to check before mistakenly trying to correct me
Controle door federatie
Na een uur werd de transactie alsnog normaal verwerkt, volgens de 11-uit-15 multisig methode van het netwerk. Tegen de huidige prijs is deze transactie ongeveer $8 miljoen waard.
De nodes die dit doen worden gehost door grote over-the-counter (OTC) trading desks of cryptobeurzen. Elke transactie moet worden ondertekend door 11 van de 15 vertegenwoordigende entiteiten. Liquid heeft momenteel 44 partijen in de federatie zitten, waaronder BitMEX, Ledger en Xapo.
Wanneer bitcoin wordt overgezet naar Liquid, gaat het door een ‘peg-in’-proces waarbij de BTC wordt opgeslagen in een beveiligde wallet. Deze wordt beheerd door de federatie. Daarnaast wordt er L-BTC aangemaakt en vrijgegeven als iemand Bitcoin stort. En als je deze L-BTC inlevert, kun je weer ‘echte Bitcoin’ terugkrijgen.
Er is een extra regeltje voor het geval dat de Bitcoin 30 dagen lang niet uit deze wallet wordt gehaald. In dat geval wordt er een twee-uit-drie multisig wallet geactiveerd om de Bitcoin op het netwerk te behouden. Dit wordt gedaan om Liquid te beschermen in het geval dat meer dan een derde van de federale partijen wordt losgekoppeld van het Liquid Network.
Prestwich merkte deze ‘beveiligingsfout’ op omdat het geld nooit het risico liep om te worden gestolen door een hacker. De federatie van nodes werkte gewoon naar behoren. Toch was de Bitcoin terecht gekomen in dit vangnet.
[penci_blockquote style=”style-2″ align=”none” author=””]”Maar dit was geen normale gang van zaken. Als iemand zegt dat het zo is, hebben ze het mis. Het is rechtstreeks in tegenspraak met [Liquid’s] documenten en openbare verklaringen.”[/penci_blockquote]
[penci_blockquote style=”style-2″ align=”none” author=””]”Als gevolg hiervan werd de achterdeur van de Blockstream moderators geactiveerd en werd de veiligheid van Liquid afhankelijk van het vertrouwen van het bedrijf.”[/penci_blockquote]
Reactie Blockstream
Woodfire, marketing director van Blockstream, geeft aan Coindesk uitleg:
[penci_blockquote style=”style-2″ align=”none” author=””]“Dit is een bekend probleem dat wordt veroorzaakt door een inconsistentie tussen de timelocks die worden gebruikt door de security modellen van Liquid. Ondanks het probleem zijn de fondsen altijd veilig.”[/penci_blockquote]
[penci_blockquote style=”style-2″ align=”none” author=””]”De recente groei van Liquid en een minder goede coördinatie door corona hebben geleid tot problemen bij het updaten van firmware met betrekking tot de timelocks. Die updates zouden in het vierde kwartaal van 2020 moeten zijn geïmplementeerd.”[/penci_blockquote]
De CEO van het Canadese bedrijf is er ook als de kippen bij om uitleg te geven. Volgens Adam Back is het een bekend geval en zijn de funds veilig gezien de keys offline bewaard worden.
the pegs software has undergone a number of improvements since launch in oct 2019. we have a functionary workaround (not involving HSM upgrade) which will be updated soon. the peg wallet targets 100 utxos, so pegin/pegout activity renews many UXTOs before the sweep process.
In de technische documentatie staat het als volgt omschreven:
[penci_blockquote style=”style-2″ align=”none” author=””]“Als één derde of meer van het netwerk niet meer werkt, zou het netwerk vastlopen en zou al het geld voor altijd zijn gelocked. Om dit te voorkomen, zijn alle fondsen van het Liquid Netwerk ook toegankelijk met een set van drie noodsleutels wanneer het netwerk dertig opeenvolgende dagen niet functioneert. ”[/penci_blockquote]
Deze twee-uit-drie wallet werd dus ten onrechte geactiveerd door de een niet geüpdate firmware. Hierdoor had Blockstream toegang tot de 870 Bitcoin terwijl dit helemaal niet hun recht was. Inmiddels is alles weer opgelost en is de betaling door het 11-uit-15 akkoord alsnog doorgevoerd.
liquid has a normal 11-of-15, and a backup 2-of-3 that requires a 2-week wait. The 2-week wait should never elapse, but did in this case
Heb je vragen over Bitcoin? Kom eens langs in onze Telegram chat!
