Kwetsbaarheid ontdekt in Bitcoin-stakingprotocol Babylon

Ontwikkelaars hebben een recent onthulde softwarekwetsbaarheid geïdentificeerd in het Bitcoin-stakingprotocol Babylon. Deze fout kan kwaadwillende validators de mogelijkheid geven om delen van het consensusmechanisme te verstoren. Vooral rond belangrijke overgangsmomenten in het netwerk kan dit leiden tot vertragingen in de blokproductie.

De kwetsbaarheid ligt in het systeem van Babylon voor blokverificatie, de zogenoemde BLS vote extension. Dit mechanisme wordt gebruikt om vast te leggen dat validators het eens zijn over de inhoud van een nieuw blok.

Validators kunnen bij het uitbrengen van hun stem een cruciaal onderdeel, het blokhash-veld, achterwege laten door een fout in de implementatie. Dit blokhash-veld is essentieel aangezien het aangeeft over welk specifiek blok een validator stemt.

Zodra dit ontbreekt, kunnen er juist tijdens de overgangen tussen epochs problemen ontstaan bij het bereiken van consensus. Dit blijkt uit een technische toelichting op GitHub.

In theorie kan een kwaadwillende validator hierdoor andere validators laten vastlopen tijdens kritieke controleprocessen. Wanneer meerdere validators hierdoor worden getroffen, kan dit de voortgang van het netwerk tijdelijk verstoren en de productie van nieuwe blokken vertragen.

Een bijdrager van het netwerk onder het pseudoniem GrumpyLaurie55348 ontdekte de kwetsbaarheid. Volgens zijn analyse kan Babylon bij epoch-overgangen in consensuskritische code proberen te werken met een lege verwijzing, wat leidt tot een runtime-fout en het crashen van validatorsoftware.

Babylon is benaderd voor commentaar over de mogelijke impact en de aanpak van het probleem, maar had op het moment van publicatie nog geen reactie gegeven. Er zijn vooralsnog geen aanwijzingen dat de fout actief wordt misbruikt, al waarschuwen ontwikkelaars dat dit risico toeneemt zolang de kwetsbaarheid niet wordt verholpen.

Babylon wordt gezien als een belangrijke bouwsteen voor Bitcoin-gebaseerde gedecentraliseerde financiën, doordat het als eerste protocol native Bitcoin-staking introduceerde. Hierdoor is het mogelijk om rendement te genereren binnen het Bitcoin-ecosysteem zelf.

Deze benadering wordt vaak aangeduid als BTCFI en het heeft als doel DeFi-functionaliteit naar het Bitcoin-netwerk te brengen. Een belangrijke technische stap hierin was de introductie van het Runes-protocol tijdens de Bitcoin-halving van 2024.

Babylon haalde daarnaast recentelijk 15 miljoen dollar aan financiering op bij a16z Crypto via de verkoop van zijn eigen BABY-tokens aan de digitale-activadivisie van Andreessen Horowitz. Volgens de investeerder zal het kapitaal worden ingezet voor de verdere ontwikkeling van infrastructuur voor Bitcoin-native DeFi.

Daarnaast kondigde Babylon in december een samenwerking aan met Aave Labs. Die samenwerking moet Bitcoin-gedekte leningen mogelijk maken op Aave v4, waarbij BTC als onderpand kan worden gebruikt zonder wrappers of externe beheerders. De testfase staat gepland voor het eerste kwartaal van 2026, met een gezamenlijke lancering in april 2026.