監守自盜？Blockstream側鏈Liquid存漏洞

區塊鏈6月30日訊

     研究人員發現Blockstream側鏈Liquid Network一直存在Bug，該漏洞可能會導致數百萬比特幣被盜。據悉，這個漏洞是由比特幣開發人員，加密創業公司Summa One創始人詹姆斯·普雷斯特維奇（James Prestwich）發現並披露出的。

     錯誤的運作方式

     由於時間鎖不一致，詹姆斯·普雷斯特維奇發現Liquid網路上這個Bug可能會讓基本帳戶受到嚴重影響。時間鎖不一致就能讓Blockstream公司內部員工透過緊急恢復流程取出比特幣，這個流程只需要3個主要金鑰持有者中的2個金鑰持有者簽名就能交易，該Bug繞過了合法多重簽名流程，而合法的取款流程需要15個金鑰持有者中的11個金鑰持有者簽署交易。

     據詹姆斯·普雷斯特維奇聲稱，Blockstream網路管理員已透過恢復多簽名合同暫時扣押Liquid網路上儲存的870枚比特幣，價值約合800多萬美元。此外，該漏洞很可能已經導致數百萬美元損失，而且已經存在了18個月，並影響超過2000筆未花費交易輸出（UTXO）。

     Blockstream的迴應

     Blockstream執行長亞當·貝克特（Adam Back）已經對此問題做出迴應，他承認存在Bug並稱其為“已知問題”。

     據悉，亞當·貝克特聲稱旗下開發團隊已經啟動構建完整的修復程式，而且進行了一段時間，但由於各種原因始終沒有上線。他補充表示，目前開發人員目前正在與Liquid Federation合作來建立和部署最終補丁，但Blockstream公司會提供一個臨時且有限的解決方案來處理這個問題。

     同時亞當·貝克特指出Blockstream對這種情況的處理“未達到其信任最小化的通常標準。”，而且以Blockstream的信譽來看，他們“實際上沒有資金被盜”，只是這個Bug的確造成有員工內部盜竊的可能性，但不會受到外部攻擊。

     五月底時，亞當·貝克特曾詳細介紹了分層解決方案對比特幣的影響，以及在交易所之間的結算中Liquid Network的作用，當時他指出在閃電網路的情況下，在提高可擴充套件性的同時，不可避免地會對安全性做出妥協。然而亞當·貝克特認為，有了Liquid，當人們將資產從託管公司轉移到另一家託管公司時，安全問題可能不會嚴重惡化，不過這次出現的Bug可能會讓人們警惕這種操作了。

     “有趣”的是，Blockstream另一位聯合創始人繆永權（Samson Mow）還對這些第二層解決方案如何改變比特幣進行了有趣的類比。繆永權將比特幣比作水的三種狀態，他表示：“我認為對大多數人來說，理解比特幣的功能最簡單的方法就是它是另一種形式的比特幣。如果你把比特幣想象成水，有三種狀態。鏈上主網比特幣是冰。它的移動速度慢，成本也高，Liquid就是水，移動速度更快，更容易移動，閃電網路可能是氣態的，速度更快。”

     為什麼Blockstream存在爭議

     Blockstream和Liquid Network在加密社羣——尤其是在比特幣社羣中頗有爭議。

     雖然Blockstream公司為比特幣的自身發展提供資金支援，但該公司旗下Liquid Network其實是聯邦側鏈（federated sidechain），而且會在比特幣區塊鏈之外儲存BTC。這意味著該公司一直對信任他們的使用者（通常是依靠他們進行轉移和結算的企業和交易所）的資金保持著巨大的控制權力。

     當然，就目前來看Liquid網路的Bug不太可能影響普通加密貨幣持有者。但無論如何，出現這個問題提醒我們，對於那些對比特幣擁有最大控制權的投資者來說，應該將比特幣儲存在自己的非託管錢包中。

     值得一提的是，六月初，Blockstream公司透露將圍繞其商業側鏈Liquid Network為中心的風險投資計劃Liquid Ventures Initiative。Lquid Ventures Initiative得到了15家風險投資公司和天使投資者的支援。根據星期二的部落格文章，他們對該計劃的總投資承諾為500萬美元。而且亞當·貝克特還一直鼓勵人們買入並持有比特幣，他曾在推特上表示：

     “當羅馬在燃燒的時候，歷史並不關心哪個派系錯得更厲害。放遠來看，解決方案並不在帝國之內。選擇不參與，退出，離開。建立並推動比特幣採用，買入並持有，這是你能做的最有效的事情，這就夠了。”