Interchain Labs, Asymmetric Research, dan SEAL Alliance Menerbitkan Laporan tentang Upaya Rekayasa Sosial yang Terkait dengan DPRK; Laporan Mengonfirmasi Tidak Ada Dampak pada Keamanan Stack Cosmos

Kota New York, Amerika Serikat – Senin, 16 Juni, 2025 – Interchain Labs (ICL), bekerja sama dengan Security Alliance (SEAL) dan Asymmetric Research (AR), telah menerbitkan laporan keamanan mengenai kontribusi masa lalu ke repositori Cosmos oleh individu yang kemudian diidentifikasi terkait dengan Republik Rakyat Demokratik Korea (DPRK). Individu ini dipekerjakan oleh mantan vendor pemelihara Core Stack dari pertengahan 2022 hingga November 2024, sebelum ICL didirikan dan model pemeliharaan pihak ketiga dihentikan. Setelah terbentuknya ICL dan pengambilalihan penuh semua tanggung jawab pengembangan core stack, protokol keamanan dan perekrutan baru diperkenalkan yang menghadirkan masalah ini dan mencegah kontribusi lebih lanjut. Laporan tersebut menegaskan bahwa tidak ada risiko langsung atau masa depan terhadap arsitektur Cosmos akibat kontribusi masa lalu ini.

Setelah aktor tersebut diidentifikasi – ICL dan AR mengambil tindakan keamanan proaktif untuk memastikan risiko akses yang berlangsung dijaga, bersama dengan menghapus kontributor yang tidak diperlukan. Penerapan kebijakan perekrutan aman ICL mengakibatkan pengenalan kembali aktor ini sebagai pelamar pekerjaan baru di ICL dan penolakannya.

Laporan itu sendiri menemukan bahwa kontribusi dan akses individu tersebut di bawah pemelihara sebelumnya dibatasi pada repositori berikut:

• cosmos/IAVL
• cosmos/cosmos-sdk

Setelah diberitahu mengenai identitas individu tersebut, ICL meluncurkan investigasi komprehensif bekerja sama dengan Asymmetric Research (AR), meninjau semua kontribusi—terlepas dari status penerapannya. Tinjauan ini menyimpulkan bahwa hampir semua kode SDK yang ditulis oleh aktor ini telah dihentikan atau dikecualikan dari roadmap selama transisi pasca-reorg ICL, terutama sebagai hasil dari pembatalan SDK v2. Dalam tinjauan kontribusi IAVL dan Cosmos SDK yang sudah dirilis, tidak ditemukan risiko atau kerentanan setelah audit independen multi-pihak yang ekstensif.

Sejak Februari, ICL telah melaksanakan sejumlah peningkatan keamanan di seluruh repositori inti Cosmos. Ini termasuk mencabut akses legacy, memberikan izin ulang kepada semua kontributor, memutar ulang kredensial, dan mengamankan integrasi atau konfigurasi token apa pun. Izin GitHub diperketat secara sistematis melalui aturan yang menegakkan perlindungan cabang seragam dan kemampuan audit diperluas ke seluruh organisasi GitHub Cosmos. Langkah-langkah ini telah diperkuat setelah kejadian ini.

Untuk mempromosikan keamanan dan transparansi yang berkelanjutan, ICL mengundang komunitas untuk berpartisipasi dalam mengungkapkan masalah yang terlewat terkait dengan individu tersebut. Selama bulan depan, halaman HackerOne Cosmos akan menawarkan hadiah ganda untuk setiap kerentanan yang memenuhi syarat yang terkait dengan akun GitHub “cool-develope.”

Barry Plunkett, Co-CEO Interchain Labs, mengatakan: “Kejadian seperti ini menunjukkan perlunya prosedur keamanan yang lebih diterima secara luas dan ketat, tidak hanya dalam ekosistem Web3 tetapi juga di seluruh lanskap teknologi yang lebih luas. Transparansi dan keamanan adalah prioritas utama kami dalam ekosistem Cosmos. Sejak penyatuan pengembangan Cosmos Stack di bawah ICL tahun ini, kami telah memperbarui dan menegakkan standar keamanan yang ketat di seluruh stack. Ini memungkinkan kami untuk mencegah kontribusi lebih lanjut dari individu yang terlibat di bawah kepemimpinan kami. Meskipun kami tidak menemukan indikasi kode berbahaya yang disumbangkan oleh aktor DPRK, kami mendorong peninjauan lebih lanjut dari komunitas melalui program bounty kami, dan akan sepenuhnya menghentikan basis kode melalui rilis yang direncanakan dari IAVL v2 yang merupakan penulisan ulang penuh.”

Dengan konsolidasi semua kontribusi ke Cosmos Stack yang sekarang terkonsentrasi di bawah Interchain Labs, Yayasan dapat menerapkan praktik keamanan yang lebih efisien dan menerapkan pembatasan sumber daya manusia untuk memberikan seluruh stack dengan pertahanan terhadap infiltrasi, menghilangkan ketergantungan pada penyedia pihak ketiga dengan toleransi risiko yang bervariasi. Kemajuan ini terlihat cepat, ketika aktor yang sama mencoba melamar ulang dengan alias baru ke ICL untuk peran teknik awal tahun ini, dan ditolak ketika dikibarkan sebagai potensi aktor berbahaya.

Jonathan Claudius, dari Asymmetric Research, mengatakan: “Kasus ini menjadi pengingat bahwa ekosistem sumber terbuka memerlukan keamanan yang proaktif dan berkelanjutan. Cosmos bukan ekosistem pertama yang disusupi oleh aktor berbahaya dan tidak akan menjadi yang terakhir. Transparansi tidak hanya membangun kepercayaan, tetapi juga memberikan pelajaran yang bisa diterapkan orang lain untuk memperkuat sistem mereka sendiri. Pembelajaran ini menguntungkan ekosistem yang lebih luas dan memperkuat pentingnya strategi pertahanan berlapis dan kolaboratif. Fokus yang lebih intensif pada keamanan proaktif, bersama dengan inisiatif seperti Security Alliance, akan membantu membuat ruang web3 lebih kuat dan lebih tangguh.”

Barry Plunkett dan Brandon Pate tersedia untuk memberikan komentar

Tentang Interchain Labs:

Interchain Labs adalah tim pengembangan dan pertumbuhan untuk Cosmos, jaringan terdesentralisasi dari blockchain yang mandiri, dapat diskalakan, berkelanjutan, dan dapat dioperasikan. Cosmos adalah salah satu ekosistem blockchain terbesar, dengan lebih dari 250 aplikasi dan layanan serta kapitalisasi pasar lebih dari 41 miliar USD. Interchain Labs memimpin pengembangan untuk Cosmos Hub, ekosistem Cosmos, dan Interchain Stack – sebuah suite perangkat lunak untuk membangun blockchain. Interchain Labs berusaha untuk membangun internet yang lebih bebas dan adil dengan platform Cosmos di inti. Untuk informasi lebih lanjut, kunjungi https://interchain.io/.

Tentang AR

Asymmetric Research (AR) adalah usaha keamanan butik yang mengkhususkan diri dalam kemitraan jangka panjang dengan blockchain L1/L2 dan protokol DeFi. Pekerjaan intinya mencakup empat domain kunci keamanan web3: penelitian, tanggap insiden, teknik, dan layanan infrastruktur. AR membantu tim membangun sistem yang tangguh, memperkuat postur keamanan, dan secara proaktif menangani ancaman yang muncul.

Tentang SEAL

SEAL adalah koalisi dari tim keamanan dan protokol terkemuka di web3, bekerja sama untuk meningkatkan standar keamanan blockchain melalui kolaborasi, berbagi informasi, dan tanggapan cepat. Dengan menyelaraskan insentif dan menetapkan kerangka kerja bersama, SEAL melindungi ekosistem dari ancaman dan eksploitasi, mendorong masa depan yang lebih aman dan lebih tangguh untuk teknologi terdesentralisasi.

Untuk pertanyaan media, silakan hubungi: interchain@wachsman.com

 

 

 

_________________________________________________________________________

Bitcoin.com tidak menerima tanggung jawab atau kewajiban, dan tidak bertanggung jawab, secara langsung atau tidak langsung, untuk kerusakan atau kerugian yang disebabkan atau diduga disebabkan oleh atau sehubungan dengan penggunaan atau ketergantungan pada konten, barang, atau layanan yang disebutkan dalam artikel.