В сайдчейне Liquid произошло нарушение процедур безопасности при перемещении биткоинов на $8 млн
-
Находящиеся в сайдчейне Liquid Network биткоины стали временно доступны для изъятия создавшей его компанией Blockstream, пишет Cointelegraph со ссылкой на основателя стартапа Summa Джеймса Прествича.
Согласно Прествичу, транзакции Liquid настроены таким образом, чтобы после 2 015 блоков или приблизительно двух недель в обработке контроль над активами передавался контракту, отправка транзакции с которого требует наличие 2 из 3 подписей вместо стандартной схемы 11 из 15. Хотя подобная передача контроля является задокументированной возможностью Liquid Network, она должна использоваться только в крайних случаях, например при недоступности большей части подписей в сети.
Как удалось выяснить разработчику, 870 биткоинов стоимостью около $8 млн застряли в очереди и ожидали обработки с 11 июня. В результате период ожидания истёк, и эти биткоины оказались доступны для расходования Blockstream в трёх блоках или на протяжении примерно 30 минут. Впоследствии активы были привязаны к новому неизрасходованному выходу транзакции, что позволило сбросить счётчик.
«Это не было нормальной операцией. Если кто-то так говорит, он заблуждается. Это напрямую противоречит их документации и публичным заявлениям», – прокомментировал Прествич.
Директор по маркетингу Blockstream Нил Вудфайн признал наличие проблемы, вызванной «несоответствием во временных замках аппаратных модулей безопасности». Он также отметил, что обычно проблема затрагивала небольшие суммы, однако рост Liquid Network привёл к тому, что в это число попала и достаточно крупная транзакция. По словам Вудфайна, фактически активы не подвергались риску, поскольку требование к наличию 2 из 3 подписей сохранялось. В ближайшее время компания постарается устранить проблему при помощи программного решения, так как исправить её в самом аппаратном модуле очень сложно.
Прествич добавил, что Blockstream не выкладывает в открытый доступ весь код Liquid Network, поэтому полностью установить обстоятельства произошедшего невозможно.
-
ну какой то черный ящик у них там получился ... Что и как там работает , мало кто знает.