Interchain Labs, Asymmetric Research a SEAL Alliance publikují zprávu o zadrženém pokusu o sociální inženýrství spojeném s KLDR; zpráva potvrzuje, že nedošlo k žádnému dopadu na bezpečnost Cosmos Stack.

New York City, Spojené státy – pondělí, 16. červen, 2025 – Interchain Labs (ICL) ve spolupráci s Security Alliance (SEAL) a Asymmetric Research (AR) zveřejnilo bezpečnostní zprávu o minulých příspěvcích do Cosmos repozitářů od jednotlivce, který byl později identifikován jako spojený s Korejskou lidově demokratickou republikou (KLDR). Tento jednotlivec byl zaměstnán bývalými dodavateli údržby Core Stack od poloviny roku 2022 do listopadu 2024, než bylo založeno ICL a model třetích stran pro údržbu byl ukončen. Po vytvoření ICL a převzetí veškerých povinností v oblasti vývoje jádra byla zavedena nová bezpečnostní a náborová opatření, která odhalila problém a zabránila dalším příspěvkům. Zpráva potvrdila, že neexistují žádná okamžitá ani budoucí rizika pro architekturu Cosmos v důsledku těchto minulých příspěvků.

Jakmile byl tento aktér identifikován – ICL a AR přijaly proaktivní bezpečnostní opatření k zajištění ochrany proti rizikům trvalého přístupu, a zároveň odstranily nepotřebné přispěvatele. Implementace bezpečnostních pravidel náboru v ICL vedla k opětovné identifikaci tohoto aktéra jako nového uchazeče o práci u ICL a jeho odmítnutí.

Samotná zpráva zjistila, že příspěvky a přístup jednotlivce pod předchozími správci byly omezeny na následující repozitáře:

• cosmos/IAVL
• cosmos/cosmos-sdk

Poté, co byla odhalena identita jednotlivce, ICL zahájilo komplexní vyšetřování ve spolupráci s Asymmetric Research (AR), které přezkoumalo všechny příspěvky – bez ohledu na stav nasazení. Tyto revize dospěly k závěru, že téměř veškerý kód SDK vytvořený tímto aktérem byl již zastaralý nebo byl vyloučen z plánu během post-reorg přechodu ICL, zejména v důsledku zrušení SDK v2. Při přezkumu již vydaných příspěvků IAVL a Cosmos SDK nebyla po rozsáhlých nezávislých auditech zjištěna žádná rizika ani zranitelnosti.

Od února ICL provádí sérii bezpečnostních vylepšení napříč všemi hlavními repozitáři Cosmos. Tato opatření zahrnují odvolání zastaralých přístupů, přenastavení oprávnění všem přispěvatelům, rotaci pověření a zabezpečení všech integrací nebo nastavení tokenů. Oprávnění na GitHubu byla systematicky posílena prostřednictvím pravidel zavádějících jednotnou ochranu větví a rozšířených auditních schopností napříč celou organizací Cosmos na GitHubu. Tato opatření byla posílena po této události.

Pro podporu průběžné bezpečnosti a transparentnosti ICL vyzývá komunitu, aby se podílela na odhalování přehlédnutých problémů spojených s jednotlivcem. Během příštího měsíce bude na stránce Cosmos HackerOne nabízena dvojnásobná odměna za jakoukoli kvalifikovanou zranitelnost spojenou s účtem GitHub „cool-develope.“

Barry Plunkett, spolumajitel Interchain Labs, řekl: “Incidenty jako tento ukazují naléhavou potřebu rozšířenějšího přijetí a důslednějších bezpečnostních procedur, a to nejen v rámci ekosystému Web3, ale napříč širší technologickou krajinou. Transparentnost a bezpečnost jsou naší nejvyšší prioritou v rámci ekosystému Cosmos. Od sjednocení vývoje Cosmos Stack pod ICL v tomto roce jsme aktualizovali a vynutili přísné bezpečnostní standardy napříč stackem. To nám umožnilo předejít jakýmkoli dalším příspěvkům od zapojeného jednotlivce pod naším vedením. Zatímco jsme nenašli žádné indicie o škodlivém kódu přispěném aktérem z KLDR, podněcujeme další kontrolu komunitou prostřednictvím našeho bounty programu a kompletně zrušíme kódovou základnu prostřednictvím plánovaného vydání IAVL v2, což bude kompletní přepis.”

S konsolidací všech příspěvků do Cosmos Stack nyní soustředěnou pod Interchain Labs může Nadace implementovat efektivnější bezpečnostní praxi a vynutit bezpečnostní opatření v oblasti lidských zdrojů, aby poskytla celému stacku komplexní obranu proti infiltraci, což eliminuje spoléhaní na poskytovatele třetích stran s různorodou tolerancí rizika. Tento pokrok se rychle projevil, když se tentýž aktér pokusil znovu přihlásit pod novým aliasem do ICL na pozici inženýra dříve v tomto roce, a byl odmítnut, protože byl označen jako potenciální škodlivý aktér.

Jonathan Claudius z Asymmetric Research řekl: “Tento případ připomíná, že open-source ekosystémy vyžadují proaktivní, kontinuální bezpečnost. Cosmos není prvním ekosystémem, který by infiltrovali škodliví aktéři, a nebude posledním. Transparentnost nejen buduje důvěru, ale odhaluje poučení, která mohou ostatní aplikovat k posílení vlastních systémů. Tyto zkušenosti prospívají širšímu ekosystému a posilují důležitost vrstevnatých, spolupracujících obranných strategií. Důraz na proaktivní bezpečnost společně s iniciativami, jako je Security Alliance, pomůže učinit prostor web3 silnějším a odolnějším.”

Barry Plunkett a Brandon Pate jsou k dispozici pro komentáře

O Interchain Labs:

Interchain Labs je vývojový a růstový tým pro Cosmos, decentralizovanou síť nezávislých, škálovatelných, udržitelných a interoperabilních blockchainů. Cosmos je jedním z největších ekosystémů blockchainů s více než 250 aplikacemi a službami a tržní kapitalizací přes 41 miliard USD. Interchain Labs vede vývoj pro Cosmos Hub, ekosystém Cosmos a Interchain Stack – softwarovou sadu pro tvorbu blockchainů. Interchain Labs usiluje o vybudování svobodnějšího a spravedlivějšího internetu s platformou Cosmos v jádru. Pro více informací navštivte https://interchain.io/.

O AR

Asymmetric Research (AR) je bezpečnostní podnik specializující se na dlouhodobá partnerství s L1/L2 blockchainy a DeFi protokoly. Jeho hlavní činnost se zaměřuje na čtyři klíčové oblasti bezpečnosti web3: výzkum, řešení incidentů, inženýrství a infrastrukturní služby. AR pomáhá týmům budovat odolné systémy, posilovat bezpečnostní pozici a proaktivně se vyrovnávat se vznikajícími hrozbami.

O SEAL

SEAL je koalice předních bezpečnostních týmů a protokolů ve web3, které společně usilují o zvýšení standardů bezpečnosti blockchainů prostřednictvím spolupráce, sdílení informací a rychlé reakce. Spojením pobídek a zavedením sdílených rámců SEAL chrání ekosystém před hrozbami a zneužitími, podporujíc tak bezpečnější a odolnější budoucnost pro decentralizované technologie.

Pro dotazy médií prosím kontaktujte: interchain@wachsman.com

 

 

 

_________________________________________________________________________

Bitcoin.com nepřijímá žádnou zodpovědnost ani odpovědnost a není přímo ani nepřímo zodpovědný za jakékoli škody nebo ztráty způsobené nebo údajně způsobené použitím nebo spoléháním se na jakýkoli obsah, zboží nebo služby uvedené v článku.