Interchain Labs, Asymmetric Research, و SEAL Alliance گزارشی درباره تلاش مهندسی اجتماعی مرتبط با کره شمالی منتشر کردند؛ گزارش تایید می‌کند که هیچ تأثیری بر امنیت Cosmos Stack نداشته است.

نیویورک، ایالات متحده – دوشنبه، 16 ژوئن، 2025 – Interchain Labs (ICL)، در همکاری با امنیتی Alliance (SEAL) و تحقیق نامتقارن (AR)، گزارشی درباره امنیت از مشارکت‌های گذشته در مخازن کازموس توسط فردی که بعداً به جمهوری دموکراتیک خلق کره (DPRK) مرتبط شد، منتشر کرده است. این فرد توسط فروشندگان نگهداری هسته‌ای Stack از اواسط سال 2022 تا نوامبر 2024 قبل از تأسیس ICL و بازنشستگی مدل نگهداری شخص ثالث، استخدام شده بود. پس از تشکیل ICL و پذیرش تمامی مسئولیت‌های توسعه هسته، پروتکل‌های جدید امنیتی و استخدامی معرفی شد که مسئله را شناسایی کرده و از مشارکت‌های بیشتر جلوگیری کرد. این گزارش تأیید کرد که به معماری کازموس به دلیل این مشارکت‌های گذشته هیچ خطری فوری یا آینده‌ای وجود ندارد.

پس از شناسایی این فرد، ICL و AR اقدام به اقدامات امنیتی پیشگیرانه جهت اطمینان از محافظت از دسترسی مداوم و حذف همکارهای غیرضروری کردند. اجرای سیاست‌های استخدام ایمن ICL منجر به شناسایی مجدد این فرد به عنوان متقاضی جدید شغلی به ICL شد و پذیرش او رد شد.

گزارش خود بیان کرد که مشارکت‌ها و دسترسی‌های این فرد تحت نگهداری‌کنندگان قبلی محدود به مخازن زیر بود:

• cosmos/IAVL
• cosmos/cosmos-sdk

پس از آگاهی از هویت این فرد، ICL یک تحقیق جامع در همکاری با Asymmetric Research (AR) را آغاز کرد، و تمامی مشارکت‌ها را – بدون توجه به وضعیت استقرار – بررسی کرد. این بررسی‌ها نتیجه داد که تقریباً تمام کدهای SDK نویسنده این عملگر قبلاً از مسیر حذف یا مستثنی شده است در طول گذار پس از سازمان مجدد ICL، به ویژه به دلیل لغو SDK v2. در بررسی مشارکت‌های منتشر شده IAVL و Cosmos SDK هیچ خطر یا آسیب‌پذیری پس از ممیزی‌های مستقل گسترده چندگانه یافت نشد.

از فوریه، ICL سری ارتقاهای امنیتی بر روی تمام مخازن هسته کازموس را اجرا کرده است. این شامل لغو دسترسی‌های قدیمی، تغییرات مجازیت برای تمامی مشارکت‌کنندگان، چرخش مدارک و امنیت دهی به هر یکپارچه‌سازی‌ها یا تنظیمات توکن می‌شود. مجوزهای گیت‌هاب به‌طور نظام‌مند از طریق مجموعه‌های قوانینی که حفاظت شعبه یکنواخت و قابلیت‌های ممیزی گسترده در سراسر سازمان گیت‌هاب کازموس اجرا می‌شود، تقویت شده‌اند. این اقدامات در پی این حادثه تقویت شده‌اند.

برای تشویق امنیت و شفافیت مستمر، ICL جامعه را دعوت به مشارکت در یافتن مسائل مغفول مرتبط با این فرد می‌کند. برای ماه آینده، صفحه HackerOne کازموس پاداش‌های دوبل برای هر آسیب‌پذیری واجد شرایط مرتبط با حساب GitHub “cool-develope” ارائه خواهد کرد.

بری پلانکت، هم-مدیر عامل Interchain Labs، گفت: “چنین حوادثی نیاز فوری به روش‌های امنیتی بیشتر و دقیق‌تر را نشان می‌دهد، نه تنها در اکوسیستم Web3 بلکه در سراسر چشم‌انداز فناوری گسترده‌تر. شفافیت و امنیت اولویت اول ما در اکوسیستم کازموس است. از زمان یکپارچه‌سازی توسعه استک کازموس تحت ICL امسال، استانداردهای سخت‌گیرانه امنیتی را در سراسر استک به‌روزرسانی و اجرا کرده‌ایم. این به ما امکان داده است که از هر گونه مشارکت اضافی از فرد دخیل جلوگیری کنیم و تحت رهبری ما. در حالی که هیچ نشانه‌ای از کد مخرب توسط عامل DPRK یافت نشده است، ما بررسی بیشتر جامعه را از طریق برنامه پاداش خود تشویق می‌کنیم و با انتشار برنامه‌ریزی شده IAVL v2 که بازنویسی کامل است، کدبیس را به‌طور کامل حذف خواهیم کرد.”

با تجمیع تمامی مشارکت‌ها به Stack کازموس که اکنون تحت Interchain Labs متمرکز شده است، بنیاد می‌تواند روش‌های امنیتی کارآتری را اجرا کرده و محافظت‌های منابع انسانی را تقویت کند تا کل استک را با دفاع کامل در برابر نفوذ فراهم کند، با حذف وابستگی به ارائه‌دهندگان شخص ثالث با تحمل ریسک متفاوت. این پیشرفت به سرعت نشان داده شد، زمانی که همان فرد سعی کرد تحت نام مستعار جدید به صورت جدید برای یک نقش مهندسی به ICL درخواست دهد و زمانی که به عنوان یک عامل بالقوه مخرب علامت‌گذاری شد، پذیرش او رد شد.

جاناتان کلادیوس، از Asymmetric Research، گفت: “این مورد به عنوان یادآوری است که اکوسیستم‌های منبع باز نیاز به امنیت پیشگیرانه و مستمر دارند. کازموس اولین اکوسیستم که توسط عوامل مخرب نفوذ شده و آخرین نخواهد بود. شفافیت نه تنها اعتماد را ایجاد می‌کند بلکه درسی‌هایی را آشکار می‌کند که دیگران می‌توانند برای تقویت سیستم‌های خود اعمال کنند. این یادگیری‌ها به اکوسیستم گسترده‌تر بهره‌مند می‌شوند و اهمیت استراتژی‌های دفاعی چندلایه و همکاری‌کننده را تقویت می‌کنند. تمرکز بیشتر بر امنیت پیشگیرانه، همراه با طرح‌هایی مانند Safety Alliance، به قوی‌تر و مقاوم‌تر ساختن فضای web3 کمک می‌کند.

بری پلانکت و براندون پیت برای اظهار نظر در دسترس هستند

درباره Interchain Labs:

Interchain Labs تیم توسعه و رشد برای کازموس، یک شبکه غیرمتمرکز از بلاک‌چین‌های مستقل، قابل ایجاد، پایدار و قابل تعامل است. کازموس یکی از بزرگترین اکوسیستم‌های بلاک‌چین است، با بیش از 250 برنامه و خدمات و بیش از 41 میلیارد دلار بازار. Interchain Labs توسعه کازموس هاب، اکوسیستم کازموس و Interchain Stack – یک مجموعه نرم‌افزاری برای ساختن بلاک‌چین‌ها را هدایت می‌کند. Interchain Labs به دنبال ساختاری آزادتر و منصفانه‌تر با پلتفرم کازموس در مرکز است. برای اطلاعات بیشتر، به https://interchain.io/ مراجعه کنید.

درباره AR

تحقیق نامتقارن (AR) یک پروژه امنیتی حرفه‌ای است که در مشارکت‌های بلندمدت با بلاک‌چین‌های L1/L2 و پروتکل‌های DeFi تخصص دارد. کار اصلی آن در چهار حوزه کلیدی امنیت Web3 شامل تحقیق، پاسخ‌دهی به حوادث، مهندسی و خدمات زیرساختی گسترش یافته است. AR به تیم‌ها کمک می‌کند تا سیستم‌های مقاومی بسازند، وضعیت امنیتی خود را تقویت کنند و تهدیدهای نوظهور را به‌طور پیشگیرانه حل کنند.

درباره SEAL

SEAL یک ائتلاف از تیم‌ها و پروتکل‌های امنیتی پیشرو در web3 است که با همکاری، اشتراک‌گذاری اطلاعات و پاسخ‌دهی سریع به دنبال ارتقاء استاندارد امنیت بلاک‌چین هستند. با همسو کردن انگیزه‌ها و ایجاد چارچوب‌های مشترک، SEAL از اکوسیستم در برابر تهدیدات و بهره‌برداری‌ها محافظت می‌کند و به آینده‌ای ایمن‌تر و مقاوم‌تر برای فناوری‌های غیرمتمرکز کمک می‌کند.

برای سوالات رسانه‌ای، لطفاً با interchain@wachsman.com تماس بگیرید

 

 

 

_________________________________________________________________________

Bitcoin.com هیچ مسئولیت یا مسئولیتی نمی‌پذیرد، و نه مستقیماً و نه غیرمستقیم، برای هرگونه آسیب یا ضرری که توسط یا در ارتباط با استفاده یا اعتماد به هر گونه محتوا، کالا یا خدماتی که در مقاله ذکر شده است، ادعا شده است.