Kwetsbaarheid van 8 miljoen dollar aan bitcoin gedicht door Blockstream

Het Liquid Network van Blockstream bevatte tot kortgeleden een kwetsbaarheid die het mogelijk zou maken dat miljoenen dollars aan bitcoin gestolen zou kunnen worden door medewerkers. Dat is gelukkig niet gebeurd. Bitcoin ontwikkelaar James Prestwich onthulde de kwetsbaarheid.

Hoe de kwetsbaarheid werkt

De kwetsbaarheid van de beveiliging was van invloed op een belangrijke account op het Liquid Network als gevolg van inconsistente tijdsloten. Die inconsistentie had ervoor kunnen zorgen dat werknemers bitcoins konden stelen door gebruik te maken van een noodherstelproces. Hierbij hadden ze maar 2 van de 3 sleutelhouders (66%) de transactie hoeven te ondertekenen. Normaal gesproken moeten 11 van de 15 sleutelhouders (73%) een transactie ondertekenen. Dit noodherstelproces werkt volgens een principe dat multisig heet.

Even een korte uitleg over multisig: Normaal gesproken kunnen bitcoins vanuit een wallet verzonden worden als 1 private key de transactie ondertekent. Bij multisig (meerdere handtekeningen) moeten meerderen voor de transactie tekenen. Een multisig wallet kan bijvoorbeeld 15 handtekeningen uitdelen, en in het geval van Blockstream moeten er hiervan 11 een transactie ondertekenen.

Volgens Prestwitch stond er op het account 870 bitcoin (8 miljoen dollar) gedurende een uur deze week. De bug had in potentie veel meer schade kunnen veroorzaken. De kwetsbaarheid was al 18 maanden aanwezig en had 2.000 transacties kunnen beïnvloeden.

Reactie van Blockstream

De CEO van Blockstream is Adam Back en hij gaf toe dat dit een bekend probleem is.

Back zegt dat er al een tijdje aan een oplossing wordt gewerkt, maar dat deze om verschillende redenen is vertraagd. Hij voegt eraan toe dat de ontwikkelaars momenteel samenwerken met de Liquid Federation om een definitieve patch te maken en uit te rollen. Op dit moment is er een workaround mogelijk die het probleem op een tijdelijke en beperkte manier oplost. Back heeft hier een uitgebreide blog over geschreven.

Adam Back gaat door het stof en zegt dat de manier waarop Blockstream met deze situatie omgaat niet voldoet aan zijn standaard. Maar toch, er zijn geen bitcoins gestolen en dat spreekt voor de medewerkers van Blockstream. De kwetsbaarheid is namelijk alleen uit te buiten door medewerkers, en niet door mensen van buitenaf.


Jerrymie Marcus komt uit de journalistiek en gelooft dat crypto de wereld kan verbeteren. Dat ondervond hij jaren geleden toen hij binnen een minuut waarde verzond naar zijn Indonesische familie. Bekend van o.a. Emerce, VPRO en EUclaim.

Bezoek mijn Linkedin

Reacties
  • Geachte heer Marcus dit gelooft u toch niet?????

    30 juni 2020