Por Angel Di Matteo   @shadowargel


Ante las críticas y señalamentos, Blockstream aseguró que resulta complicado corregir dicha falla y que lanzarán un parche próximamente.

***

Blockstream, la empresa desarrolladora de soluciones Blockchain para transacciones Bitcoin y operadora de Liquid Network, generó cierta polémica en las principales redes sociales tras denuncias de que una falla de seguridad en su red, la cual presuntamente permitía a sus empleados sustraer irregularmente fondos BTC.

Así lo informaron varias personas a través de la red social Twitter, quienes denunciaron que esta vulnerabilidad presente en Liquid derivo en el presunto robo de unos BTC 1.800 (estimados en unos USD $16,5 millones), asegurando a su vez que la compañía tenía conocimiento de dicha brecha pero no hubo voluntad por parte de los desarrolladores para implementar los cambios necesarios.

Reacciones diversas

Sin embargo, el espacio donde estos incidentes asociados con Blockstream y Liquid se prestaron para mayor debate fue en la red social Reddit, ya que en el canal r/CryptoCurrency varias personas compartieron su opinión a favor y/o en contra de los acontecimientos.

Entre los comentarios que critican los presuntos hechos, destacan fuertes señalamientos sobre el hecho de que Blockstream tenía conocimiento desde hace muy larga data de dicha vulnerabilidad. Por ejemplo están los comentarios del usuario bajo el pseudónimo “Reasonandmadness”:

Si se sabe algo como esto [Una falla], pero nunca se soluciona, y los usuarios no son advertidos cuando se conectan a la red, entonces es una estafa, un esquema fraudulento.

No hay otras formas de hacerlo. Están estafando intencionalmente a las personas.

Por su parte, otras personas también aprovecharon para cuestionar las críticas, asegurando que para la empresa sería muy riesgoso hacer la vista gorda ante un problema de dicha magnitud. Al respecto, el usuario “SnowBastardThrowaway” escribe:

¿Estafar intencionalmente a las personas en qué exactamente? No se han robado monedas con esta vulnerabilidad que conocemos. Si se roban algún BTC con este exploit, Blockstream casi seguramente pierde más de lo que gana en ese proceso.

La respuesta oficial de Blockstream

A razón del revuelo que generó esto en las redes sociales antes citadas, el equipo de Blockstream publicó el día de ayer un comunicado oficial a través de su cuenta de Medium, en el cual ofrecía a la comunidad más detalles en relación a lo ocurrido.

Allí, el equipo aseguró que el problema en la red de Liquid fue reportado por el desarrollador James Prestwich el pasado viernes 26 de junio, del cual ya el equipo tenía conocimiento y para el que estaban preparando una solución cuya implementación se retrasó por inconvenientes externos en los servidores que soportan al Blockchain.

Al respecto, la empresa descartó que los fondos fuesen robados y garantizó que los mismos están completamente seguros, aunque reconoció que no se sienten muy contentos puesto que lo ocurrido no está a la altura de los estándares manejados por Blockstream en materia de seguridad, por lo que están trabajando para implementar próximamente una actualización que solvente dichos inconvenientes.

La vulnerabilidad presente en Liquid

Tras describir brevemente el modelo operativo que garantiza la seguridad de los activos en Liquid, el equipo aseguró que la brecha de seguridad fue generada por una inconsistencia entre ciertos parámetros de bloqueo de tiempo, lo cual afectaba la sincronización de los datos.

Si bien este inconveniente no había sido un problema de cuidado en el pasado, esta brecha cobró mucha más relevancia a razón del creciente volumen de operaciones con Bitcoin, el cual ascendía a más de BTC 2.000 manejados dentro de la red.

Los motivos

La compañía aseguró que están trabajando en una solución, pero resulta complicado coordinar la actualización de los HSM empleados. Por ende, a inicios de año optaron por centrarse en trabajar en un parche, atendiendo a las siguientes razones:

  • Se manejaba una cantidad relativamente pequeña de BTC en Liquid para ese momento.
  • La mayoría de los bloqueos de tiempo se estaban actualizando antes de expirar a través de la red.
  • Los inconvenientes solo se presentaron con pequeñas cantidades de BTC.
  • Lo ocurrido a Liquid suele pasar en redes descentralizadas y distribuidas.

A su vez, la compañía también indicó que todo se hizo más complicado a razón de las consecuencias asociadas con la pandemia por COVID-19, lo cual generó mucho más retraso en el cronograma de trabajo manejado por los programadores de Blockstream.

Piden disculpas con la comunidad

Para finalizar, tras presentar algunas especificaciones técnicas sobre los cambios que tienen pensado implementar, los directivos de la compañía presentaron sus disculpas por los inconvenientes generados, especialmente sobre la forma en la que manejaron la información con el público interesado.

Al respecto, Blockstream escribió:

Trabajaremos con la Federación Liquid para mejorar la forma en la que se hacen anuncios importantes sobre la red, por lo que concederemos más responsabilidades a los miembros respectivos.

Por último, la compañía indicó que para la próxima seguridad estarán lanzando un Centro de Ayuda en el que dispondrán de información clara, asociada con el funcionamiento de Liquid Network y el modelo de seguridad empleado.


Lecturas recomendadas


Fuente: Reddit / Twitter / Medium Blockstream

Versión de Angel Di Matteo / DiarioBitcoin

Imagen extraída de Twitter