Interchain Labs, Asymmetric Research og SEAL Alliance Udgiver Rapport om Begrænset DPRK-Relateret Social Engineering-Forsøg; Rapport Bekræfter Ingen Indvirkning på Cosmos Stack Sikkerhed

New York City, USA – mandag, 16. juni, 2025 – Interchain Labs (ICL), i samarbejde med Security Alliance (SEAL) og Asymmetric Research (AR), har offentliggjort en sikkerhedsrapport om tidligere bidrag til Cosmos-repositorier af en person senere identificeret som tilknyttet Den Demokratiske Folkerepublik Korea (DPRK). Denne person blev ansat af tidligere Core Stack-vedligeholdelsesleverandører fra midten af 2022 til november 2024, før ICL blev etableret og den tredjeparts vedligeholdelsesmodel blev afskaffet. Efter at ICL blev dannet og overtog alle kernestack-udviklingsansvar, blev der indført nye sikkerheds- og ansættelsesprotokoller, der afslørede problemet og forhindrede yderligere bidrag. Rapporten bekræftede, at der ikke er nogen umiddelbar eller fremtidig risiko for Cosmos-arkitekturen som resultat af disse tidligere bidrag.

Når aktøren blev identificeret – tog ICL og AR proaktive sikkerhedsforanstaltninger for at sikre, at risikoen for vedvarende adgang blev beskyttet mod, sammen med at fjerne unødvendige bidragydere. Gennemførelsen af ICL’s sikre ansættelsespolitikker resulterede i genidentifikationen af denne aktør som en ny forsøgt jobansøger til ICL, som blev afvist.

Selve rapporten fandt, at personens bidrag og adgang under tidligere vedligeholdere var begrænset til følgende repositorier:

• cosmos/IAVL
• cosmos/cosmos-sdk

Efter at være blevet gjort opmærksom på personens identitet, iværksatte ICL en omfattende undersøgelse i samarbejde med Asymmetric Research (AR) og gennemgik alle bidrag – uanset implementeringsstatus. Disse gennemgange konkluderede, at næsten al SDK-kode forfattet af denne aktør allerede var blevet udfaset eller ekskluderet fra køreplanen under ICL’s post-reorg overgang, især som et resultat af aflysningen af SDK v2. Ved gennemgang af allerede publicerede IAVL- og Cosmos SDK-bidrag blev der efter omfattende multipart uafhængige revisioner ikke fundet nogen risici eller sårbarheder.

Siden februar har ICL gennemført en række sikkerhedsopgraderinger på tværs af alle Cosmos kerne-repositorier. Disse omfatter tilbagekaldelse af legacy adgang, re-tilladelse af alle bidragydere, rotation af legitimationsoplysninger og sikring af eventuelle integrationer eller tokenkonfigurationer. GitHub tilladelser blev systematisk hærdet gennem regelsæt, der håndhæver ensartet branch beskyttelse og udvidede revisionskapaciteter på tværs af hele Cosmos GitHub-organisationen. Disse foranstaltninger er blevet forstærket i kølvandet på denne hændelse.

For at fremme fortsat sikkerhed og gennemsigtighed inviterer ICL samfundet til at deltage i at afdække eventuelle oversete problemer forbundet med personen. I den næste måned vil Cosmos’ HackerOne-side tilbyde fordoblede belønningspræmier for eventuelle kvalificerende sårbarheder forbundet med GitHub-kontoen “cool-develope.”

Barry Plunkett, Co-CEO for Interchain Labs, sagde: “Hændelser som denne fremhæver det presserende behov for mere udbredte og strenge sikkerhedsprocedurer, ikke bare inden for Web3-økosystemet, men på tværs af den bredere tech-landsretning. Gennemsigtighed og sikkerhed er vores topprioritet inden for Cosmos-økosystemet. Siden foreningen af udviklingen af Cosmos Stack under ICL i år har vi opdateret og håndhævet strenge sikkerhedsstandarder på tværs af stacken. Dette gjorde det muligt for os at forhindre yderligere bidrag fra den involverede person under vores lederskab. Selv om vi ikke har fundet nogen indikation af ondsindet kode bidraget af DPRK-aktøren, motiverer vi yderligere samfundsrevision gennem vores belønningsprogram, og vil helt udfase kodebasen gennem vores planlagte udgivelse af IAVL v2, som er en fuld omskrivning.”

Med konsolideringen af alle bidrag til Cosmos Stack nu koncentreret under Interchain Labs kan Fonden implementere mere effektive sikkerhedspraksisser og håndhæve menneskelige ressourcers barrierer for at forsyne hele stacken med et altomfattende forsvar mod infiltration, eliminere afhængighed af tredjepartsleverandører med varierende risikotolerance. Denne fremgang viste sig hurtigt, da den samme aktør forsøgte at genansøge under et nyt alias til ICL for en ingeniørstilling tidligere i år og blev afvist, da han blev markeret som en potentiel ondsindet aktør.

Jonathan Claudius, fra Asymmetric Research, sagde: “Denne sag tjener som en påmindelse om, at open source-økosystemer kræver proaktiv, kontinuerlig sikkerhed. Cosmos er ikke det første økosystem, der infiltreres af ondsindede aktører og vil ikke være det sidste. Gennemsigtighed ikke kun bygger tillid, men afdækker lektioner, som andre kan anvende til at styrke deres egne systemer. Disse læringer gavner det bredere økosystem og understreger betydningen af lagdelte, samarbejdsforsvarsstrategier. Et intensiveret fokus på proaktiv sikkerhed, sammen med initiativer som Security Alliance, vil hjælpe med at gøre web3-rummet stærkere og mere modstandsdygtigt.”

Barry Plunkett og Brandon Pate er tilgængelige for kommentarer

Om Interchain Labs:

Interchain Labs er udviklings- og vækstteamet for Cosmos, et decentraliseret netværk af uafhængige, skalerbare, bæredygtige og interoperable blockchains. Cosmos er et af de største blockchain-økosystemer med mere end 250 apps og tjenester og over 41 milliarder USD i markedsværdi. Interchain Labs leder udviklingen for Cosmos Hub, Cosmos-økosystemet og Interchain Stack – en software suite til opbygning af blockchains. Interchain Labs stræber efter at bygge et mere frit og retfærdigt internet med Cosmos-platformen i centrum. For yderligere information, besøg https://interchain.io/.

Om AR

Asymmetric Research (AR) er en boutique sikkerhedsventure, der specialiserer sig i langsigtede partnerskaber med L1/L2 blockchains og DeFi-protokoller. Dets kernearbejde spænder over fire nøgleområder inden for web3-sikkerhed: forskning, hændelsesrespons, ingeniørarbejde og infrastrukturtjenester. AR hjælper teams med at opbygge modstandsdygtige systemer, styrke sikkerhedspositionen og proaktivt adressere fremtidige trusler.

Om SEAL

SEAL er en koalition af ledende sikkerhedsteams og protokoller i web3, der arbejder sammen for at hæve standarden for blockchain-sikkerhed gennem samarbejde, informationsdeling og hurtig respons. Ved at tilpasse incitamenter og etablere fælles rammer beskytter SEAL økosystemet mod trusler og udnyttelser og skaber en mere sikker, mere modstandsdygtig fremtid for decentraliserede teknologier.

For mediehenvendelser, kontakt venligst: interchain@wachsman.com

 

 

 

_________________________________________________________________________

Bitcoin.com påtager sig intet ansvar eller hæftelse og er ikke ansvarlig, direkte eller indirekte, for enhver skade eller tab forårsaget eller påstået at være forårsaget af eller i forbindelse med brugen af eller tilliden til noget indhold, varer eller tjenester nævnt i artiklen.