Cosmos Creator поднимает тревогу по поводу северокорейских ссылок в модуле Liquid Stakes

Создатель Cosmos All in Bits (AiB) недавно выпустил срочное предупреждение, сообщив, что модуль Liquid Stakes (LSM) Cosmos Hub представляет серьезную угрозу безопасности, поскольку он был разработан лицами, связанными с Северной Кореей.

AiB считает, что вклад разработчиков был интегрирован в Cosmos Hub без достаточной проверки безопасности, что вызывает тревогу по поводу потенциальных уязвимостей.

Разработчики с подтвержденными связями с Северной Кореей

Первоначально разработанный в 2021 году под руководством компании Iqlusion, занимающейся хостингом валидаторов Cosmos, и ее руководителя Заки Маниана при участии Stride Labs, Binary Builders и Informal Systems, LSM предназначался для модификации ключевых модулей Cosmos, таких как стейкинг, распространение и слэшинг. Однако его интеграция в Cosmos Hub через Gaia означает, что эти уязвимости потенциально могут повлиять на все задействованные ATOM.

В своем обновлении соучредитель Cosmos Джэ Квон сообщил, что AiB изучила действия и упущения, допущенные Манианом во время разработки и продвижения LSM, и выразила серьезную обеспокоенность по поводу прозрачности и безопасности Cosmos Hub.

По словам Квона, хронология событий, связанных с разработкой и проблемами безопасности LSM для Cosmos Hub, показывает ряд ошибок.

24 июня 2021 года Interchain Foundation (ICF) объявил, что Iqlusion обеспечила финансирование для текущей работы над Gaia, модернизации сети и размещения деривативов. К августу того же года Маниан и Иклузион начали разработку LSM при большом вкладе Джун Кая и Саравута Санита, которые позже были идентифицированы как связанные с Северной Кореей.

Критический аудит, проведенный Oak Security в июле 2022 года, выявил значительные уязвимости, особенно в отношении резкого уклонения от уплаты налогов. Поразительно, но тем же северокорейским разработчикам, ответственным за исходный код, было поручено решить эти проблемы, подрывая целостность процесса исправления.

Несмотря на эти выводы, Квон заявил, что Маниан общался с ФБР в марте 2023 года по поводу связей разработчиков с Северной Кореей, но не сообщил об этом сообществу. После этого в апреле 2023 года Stride Labs попыталась повысить безопасность, однако их работа в основном заключалась в портировании исходного кода с минимальным рефакторингом.

19 апреля 2023 года было представлено сигнальное предложение по интеграции LSM в Cosmos Hub, несмотря на нерешенные проблемы безопасности. Это предложение прошло несколько этапов, что привело к интеграции LSM 11 сентября 2023 года, что произошло через 19 месяцев после последнего аудита.

В конце концов, 2 октября 2024 года Маниан публично признал, что он знал о связях с КНДР с марта 2023 года, но не проинформировал сообщество Cosmos, прежде чем выступать за интеграцию LSM, что вызвало серьезную обеспокоенность по поводу прозрачности и безопасности в экосистеме Cosmos.

Cosmos Exec призывает к ответственности

Квон призвал провести комплексную проверку LSM и полностью раскрыть информацию об участии разработчиков, связанных с Северной Кореей. Кроме того, соучредитель Cosmos также призвал Interchain Foundation ввести черный список физических и юридических лиц, продвигающих небезопасные протоколы, включая Manian и Iqlusion.

Он также подчеркнул необходимость установления требований к аудиту разработки кода, субсидируемого ICF, и разработки протоколов надзора для обеспечения тщательной оценки безопасности кода перед тем, как будут предложены новые реализации для Cosmos Hub.