קראו באפליקציה
מופעל ע"י
Branded Spotlight

מעבדות אינטרצ'יין, מחקר אסימטרי וברית ה-SEAL מפרסמים דוח על ניסיון הנדסה חברתית מוגבל בקשר ל-DPRK; הדוח מאשר שאין השפעה על אבטחת ערימת ה-Cosmos

תוכן זה מסופק על ידי נותן חסות.

Alan InmanAlan Inman
שתף
מעבדות אינטרצ'יין, מחקר אסימטרי וברית ה-SEAL מפרסמים דוח על ניסיון הנדסה חברתית מוגבל בקשר ל-DPRK; הדוח מאשר שאין השפעה על אבטחת ערימת ה-Cosmos

ניו יורק, ארצות הברית – יום שני, 16 ביוני, 2025 – Interchain Labs (ICL), בשיתוף פעולה עם ה-Security Alliance (SEAL) ו-Asymmetric Research (AR), פרסמה דו”ח אבטחה על תרומות לעבר למאגרים של Cosmos על ידי אדם שהוזהה מאוחר יותר כקשור לרפובליקה הדמוקרטית של קוריאה (DPRK). אדם זה היה מועסק על ידי ספקי תחזוקה קודמים של Core Stack מאמצע 2022 עד נובמבר 2024, לפני ש-ICL נוסדה ומודל התחזוקה של צד שלישי הופסק. לאחר הקמת ICL והשתלטות מלאה על כל אחריות פיתוח ה-Core Stack, הוכנסו פרוטוקולי אבטחה וגיוס חדשים שחשפו את הבעיה ומנעו תרומות נוספות. הדו”ח אישר כי אין סיכונים מיידיים או עתידיים לארכיטקטורת Cosmos כתוצאה מתרומות אלה בעבר.

לאחר זיהוי השחקן – ICL ו-AR נקטו צעדי אבטחה פרואקטיביים כדי להבטיח סיכונים של גישה ממשיכה והסרת תורמים מיותרים. יישום מדיניות הגיוס הבטוחה של ICL הביא לזיהוי מחדש של השחקן הזה כמועמד עבודה חדש ל-ICL ודחייתו.

הדו”ח עצמו מצא שתרומות וגישה של האדם תחת מתחזקים קודמים הוגבלו למאגרים הבאים:

  • cosmos/IAVL
  • cosmos/cosmos-sdk

לאחר שהיו מודעים לזהות האדם, ICL פתחה חקירה מקיפה בשיתוף פעולה עם Asymmetric Research (AR), סוקרת את כל התרומות — ללא קשר למצב הפצה. ביקורות אלה הגיעו למסקנה שכמעט כל קוד ה-SDK שנכתב על ידי השחקן הזה כבר היה מיושן או לא נכלל במפת הדרכים במהלך המעבר לאחר הארגון מחדש של ICL, במיוחד כתוצאה מביטול SDK v2. בסקירה של תרומות IAVL ו-Cosmos SDK שפורסמו כבר, לא נמצאו סיכונים או פגיעות לאחר בדיקות עצמאיות מקיפות של צדדים מרובים.

מאז פברואר, ICL מבצעת סדרת שדרוגי אבטחה בכל מאגרי ה-Core של Cosmos. שדרוגים אלו כוללים ביטול גישה ישנה, שינוי הרשאות לכל התורמים, סיבוב אישורים ואבטחת כל אינטגרציות או תצורות אסימון. הרשאות GitHub הוקשחו באופן שיטתי באמצעות קבוצות חוקים המבטיחות הגנה אחידה על ענפים ויכולות ביקורת מורחבות בכל ארגון GitHub של Cosmos. צעדים אלה התחזקו בעקבות האירוע הזה.

כדי לקדם אבטחה ושקיפות מתמשכת, ICL מזמינה את הקהילה להשתתף בזיהוי בעיות שהושמטו הקשורות לאדם. במשך החודש הבא, דף ה-HackerOne של Cosmos יציע פרסים כפולים לבאגים לכל פגיעות מתאימה הקשורה לחשבון GitHub “cool-develope”.

בארי פלונקט, מנכ”ל משותף של Interchain Labs, אמר: “אירועים כמו אלה מציגים את הצורך הדחוף בהליכים אבטחה נרחבים ומחמירים יותר, לא רק בתוך מערכת Web3 אלא גם בנוף הטכנולוגי הרחב יותר. שקיפות ואבטחה הם הראשונים בחשיבותם בתוך אקוסיסטמת Cosmos. מאז איחוד הפיתוח של ה-Cosmos Stack תחת ICL השנה, עדכנו ואכפנו תקני אבטחה מחמירים ברחבי הסטאק. זה איפשר לנו למנוע כל תרומות נוספות מהאדם המעורב תחת ההנהגה שלנו. בזמן שלא מצאנו שום אינדיקציה לקוד זדוני שתורם על ידי השחקן ה-DPRK, אנו מעודדים סקירה נוספת מהקהילה באמצעות תוכנית פרסי הפרסים שלנו, ונתנו הוראה מוחלטת על ביטול הבסיס הקוד לגמרי באמצעות התכנון מהדורת IAVL v2 אשר הינה שכתיבה מחודשת מלאה.

עם ריכוז כל התרומות ל-Cosmos Stack כעת תחת Interchain Labs, היסודית יכולה ליישם פרקטיקות אבטחה יעילות יותר ולכפות מסגרות משאב אנושי כדי לספק לסטאק כולו הגנה כללית מפני חדירה, תוך ביטול תלות בספקי צד שלישי עם סבלנות סיכון משתנה. התקדמות זו הוצגה במהירות, כאשר אותו שחקן ניסה להגיש מחדש בקשה תחת שם חדש ל-ICL על תפקיד הנדסי מוקדם יותר השנה, ונדחה כאשר סומן כשחקן זדוני פוטנציאלי.

יונתן קלאודיוס, מ-Asymmetric Research, אמר: “מקרה זה מזכיר שאקוסיסטמות קוד פתוח דורשות אבטחה יזמית רציפה. קוסמוס אינו האקוסיסטמה הראשונה שנחדרה על ידי שחקנים זדוניים ולא תהיה האחרונה. שקיפות לא רק בונה אמון, אלא מעלת שיעורים שהאחרים יכולים ליישם כדי לחזק את המערכות שלהן. שיעורים אלה מועילים לאקוסיסטם הרחב יותר ומחזק את חשיבותם של אסטרטגיות הגנה שכבות, שיתופיות. מיקוד מוגבר באבטחה יזמית, יחד עם יוזמות כמו ברית האבטחה, יסייעו לחזק את תחום ה-web3 ולהפוך אותו לרגיל ועמיד יותר.”

בארי פלונקט וברנדון פייט זמינים להערות

על Interchain Labs:

Interchain Labs היא צוות הפיתוח והצמיחה של קוסמוס, רשת מבוזרת של בלוקצ’יינים עצמאיים, מדרגיים, בני קיימא ואינטראופרביליים. קוסמוס היא אחת מהאקוסיסטמות הבלוקציין הגדולות ביותר, עם יותר מ-250 אפליקציות ושירותים ויותר מ-41 מיליארד דולר שווי שוק. Interchain Labs מובילה את הפיתוח של ה-Cosmos Hub, אקוסיסטמת קוסמוס, ו-Interchain Stack – חבילת תוכנה לבניית בלוקצ’יינים. Interchain Labs שואפת לבנות אינטרנט חופשי והוגן יותר עם הפלטפורמה של קוסמוס בליבה. לפרטים נוספים, בקרו ב-https://interchain.io/.

על AR

Asymmetric Research (AR) היא חברת ביטחון בוטיק המתמחה בשיתופי פעולה ארוכי טווח עם בלוקצ’יינים L1/L2 ופרוטוקולים DeFi. העבודה העיקרית שלה מכסה ארבעה תחומים מרכזיים של אבטחת web3: מחקר, תגובה לאירועים, הנדסה ושירותי תשתית. AR מסייעת לצוותים לבנות מערכות רגילות, לחזק את מצב האבטחה ולטפל באופן יזום באיומים חדשים.

על SEAL

SEAL היא קואליציה של צוותי אבטחה ופרוטוקולים מובילים ב-web3, העובדים יחד כדי להעלות את רמת האבטחה של בלוקצ’יינים באמצעות שיתוף פעולה, שיתוף מידע ותגובות מהירות. על ידי התאמת תמריצים וקביעת מסגרות משותפות, SEAL מגנה על האקוסיסטם מאיומים וניצול, מעודדת עתיד בטוח ועמיד יותר לטכנולוגיות מבוזרות.

למידע תקשורתי, אנא צרו קשר: interchain@wachsman.com

 

 

 

_________________________________________________________________________

Bitcoin.com אינה מקבלת אחריות או חבות, ואינה אחראית, באופן ישיר או עקיף, לכל נזק או אובדן שנגרם או נטען כגרום על ידי או בקשר עם השימוש או ההסתמכות על כל תוכן, סחורות או שירותים המוזכרים במאמר.