El desarrollador de Bitcoin y fundador de Summa, James Prestwich, descubrió una vulnerabilidad de seguridad en Liquid Network, pero parece que la compañía desarrolladora de esta red, Blockstream, ya tenía conocimiento de dicha vulnerabilidad. 

En las afirmaciones de James Prestwich, desarrollador de Bitcoin y fundador de Summa One, una compañía de interoperabilidad para blockchains y cadenas cruzadas (cross-chain), señaló que Blockstream incluyó la vulnerabilidad de forma deliberada dentro de la red Liquid Network

En su cuenta oficial de Twitter, el desarrollador señaló a Blockstream de haber escrito el error en el código de la red. Además acusó a los empleados de tener conocimiento de esta falla e ignorarla por completo, ya que esta vulnerabilidad les dio la oportunidad de robar cientos de BTC de la red. 

Al igual que Prestwich, varios en la comunidad criptográfica presentaron sus quejas y denuncias a través de los medios y las redes sociales, afirmando además que la vulnerabilidad de seguridad encontrada en Liquid Network permitió el robo de aproximadamente 1.800 BTC, que según el precio de Bitcoin a la fecha de esta publicación supera los 15 millones de euros. 

A la fecha, el CEO de Blockstream, Adam Back, se pronunció afirmando que ninguno de los BTC contenidos en la red de Liquid Network se vieron afectados durante el tiempo que tiene la vulnerabilidad, que se estima supera los 18 meses. 

Te puede interesar: Ren Protocol, Synthetix y Curve Finance implementan la “yield farming” para Bitcoin

Polémica en torno a Blockstream 

Desde las acusaciones de James Prestwich, la comunidad criptográfica está activa en las redes sociales en torno a las acciones de Blockstream. Muchos miembros de la comunidad revelaron su descontento frente a la actuación de la compañía, así como muchos otros salieron en defensa de Blockstream. 

Por su parte Adam Back, CEO de Blockstream, respondió a uno de los tuits de Prestwich argumentando que aunque la vulnerabilidad de la red si era conocida por ellos, los fondos dentro de Liquid siguen seguros ya que las claves privadas están desconectadas y distribuidas geográficamente.  

De igual forma, Back argumentó que Blockstream planeaba solucionar la vulnerabilidad detectada por medio de una actualización del hardware HSM (Hardware Security Module), pero que a causa de la pandemia del COVID-19 se les hizo difícil realizar esta tarea ya que debía hacerse de forma manual. 

Así mismo, Back publicó un artículo donde señala que la Federación Liquid está trabajando en el desarrollo de una solución para la vulnerabilidad. Recordemos que Liquid Network es una sidechain o cadena lateral diseñada para operar con Bitcoin, permitiendo transacciones mucho más rápidas con la criptomoneda a través de su token L-BTC que opera en proporción 1:1 con BTC. 

Miembros de la Federación Liquid

Liquid Network cuenta con un total de 44 organizaciones que conforman la Federación Liquid, y que son las encargadas de vigilar los fondos que se manejan dentro de la red. Entre estas compañías y organizaciones destacan Bitso, Ledger, Huboi, Poolin y muchas otras más.  

De todos los miembros de la Federación Liquid, 15 organizaciones controlan y custodian los fondos de la red, de entre las cuales solo se requieren 11 firmas para gestionar los fondos disponibles en la wallet. Así mismo, la multifirma de Liquid dispone de 3 claves validadoras principales en caso de que el resto de los 15 validadores no se encuentren disponibles en un momento determinado; de estas 3 claves solo se necesitan 2 para recuperar los fondos en caso de alguna emergencia. Blockstream asegura que estas claves principales de emergencia están desconectadas y distribuidas geográficamente por todo el mundo.

Vulnerabilidad de seguridad en Liquid Network

Back señaló que la vulnerabilidad presente en el protocolo de la red se debe a una inconsistencia en los parámetros de los timelocks, que permiten la actualización de los bloqueos después de su vencimiento en lugar de antes, impidiendo la sincronización de los datos. 

“El problema actual es causado por una inconsistencia entre los parámetros de bloqueo de tiempo utilizados por los HSM funcionales y los servidores funcionales . Debido a este error, algunos bloqueos de tiempo se actualizan ocasionalmente poco después del vencimiento, en lugar de antes del vencimiento como se diseñó”.

Seguidamente Back señaló que a causa de esta vulnerabilidad un total de 870 BTC permanecieron expuestos durante un período de 40 minutos, pero que afortunadamente los fondos no se vieron afectados, ya que no se trata de un ataque externo sino más bien de una vulnerabilidad que puede ser aprovechada únicamente por los empleados de Blockstream. 

Así mismo Back señaló que debido al creciente volumen de operaciones con Bitcoin que ocurren en la actualidad dentro de Liquid, la vulnerabilidad cobró mayor importancia, por lo que están trabajando en su pronta solución. 

Este evento, aunque no terminó en el robo de ninguno de los fondos de Liquid, es un claro recordatorio para todos aquellos usuarios que deseen mantener sus BTC y otras criptomonedas almacenadas de forma segura, que lo realicen mediante una wallet sin custodia en lugar de utilizar servicios de confianza. 

Continúa leyendo: Chainalysis: Más del 60% del suministro actual de Bitcoin se mantiene como inversión a largo plazo