Cosmos Hub: Модуль ликвидного стейкинга под прицелом из-за связей с Северной Кореей
Концерны по поводу Модуля ликвидного стейкинга Cosmos Hub усилились после раскрытия информации о предполагаемом участии разработчиков из Северной Кореи.
Опасения по поводу безопасности Модуля Ликвидного Стейкинга (LSM) Cosmos Hub возросли после того, как стало известно о предполагаемом участии северокорейских разработчиков в его создании.
Детальный отчет компании по разработке блокчейнов All in Bits (AiB) раскрыл ряд критических ошибок, потенциальных рисков безопасности и серьезных недостатков в прозрачности со стороны тех, кто руководил разработкой LSM.
Обвинения сосредоточены на Заки Маниане, видной фигуре в сообществе Cosmos и главе Iqlusion, который, как сообщается, узнал о вовлечении Северной Кореи в разработку LSM еще в марте 2023 года.
Ликвидный Стейкинг Cosmos в руках Северной Кореи?
Разработка LSM началась в августе 2021 года. Ею руководила компания Iqlusion при поддержке других участников экосистемы Cosmos, таких как Stride Labs и Informal Systems.
LSM был разработан для повышения ликвидности стейкнутых токенов ATOM, позволяя пользователям конвертировать их в ликвидные стейкнутые активы.
Однако расследование AiB показало, что северокорейские разработчики написали значительную часть кода LSM.
В июле 2022 года компания Oak Security провела аудит LSM и выявила серьезные уязвимости, включая механизмы, которые позволяли стейкерам избегать штрафов за срезание — основополагающий аспект обеспечения безопасности блокчейнов с доказательством доли.
Вместо того чтобы обратиться к независимым экспертам для решения этих проблем, Заки Маниан и Iqlusion, как сообщается, поручили тем же северокорейским разработчикам исправить уязвимости в коде.
Это поставило под угрозу процесс исправления и подвергло систему дополнительным рискам, поскольку разработчики, которые потенциально внесли уязвимости, теперь несли ответственность за их исправление.
В марте 2023 года ФБР проинформировало Заки Маниана о вовлечении северокорейских разработчиков. Несмотря на эту критически важную информацию, Маниан не уведомил сообщество Cosmos.
Вместо этого, в апреле 2023 года, он выступил за предложение о сигнализации для интеграции LSM в Cosmos Hub, утверждая, что модуль "готов к развертыванию".
Это произошло в то время, когда значительные уязвимости безопасности оставались нерешенными. К сентябрю 2023 года LSM был интегрирован в Hub, с 19 месяцами неаудированных изменений кода, что потенциально ставило под угрозу все стейкнутые токены ATOM.
Соучредитель Cosmos Дже Квон призывает к ответственности
Эти откровения вызвали широкую озабоченность в сообществе Cosmos, многие ставят под сомнение процесс принятия решений и отсутствие прозрачности в разработке LSM.
Отчет AiB рекомендовал несколько мер, включая немедленный аудит LSM, более строгие протоколы безопасности для будущих вкладов в код и большую прозрачность со стороны Фонда Интерчейна (ICF), который финансировал разработку LSM.
Аналогично, соучредитель Cosmos Дже Квон также высказался по поводу этого скандала. Он выразил серьезные опасения по поводу безопасности LSM и роли, которую сыграли Iqlusion и Заки Маниан.
В заявлении Квон подчеркнул серьезные риски, связанные с участием северокорейских разработчиков, и раскритиковал Маниана за отсутствие прозрачности.
Квон сказал:
"В течение шестнадцати месяцев LSM разрабатывался лицами, связанными с Северной Кореей, и их вклад был интегрирован в Cosmos Hub без надлежащей проверки безопасности."
Он обвинил Маниана в "грубом небрежности" и призвал к немедленным действиям для устранения уязвимостей и привлечения к ответственности виновных.
Квон также подчеркнул необходимость комплексного аудита LSM, утверждая, что недостатки в дизайне модуля могут поставить под угрозу безопасность всех стейкнутых токенов ATOM.
Поскольку LSM не является самостоятельным модулем, а представляет собой серию модификаций существующей инфраструктуры стейкинга, любая уязвимость в нем может иметь далеко идущие последствия для всей сети Cosmos.
Квон также призвал сообщество управления Cosmos внедрить более строгие требования к аудиту и протоколы надзора для будущих разработок.