Interchain Labs、Asymmetric Research、およびSEAL Alliance、DPRKリンクのソーシャルエンジニアリング試行に関するレポートを発表；レポートはCosmos Stackのセキュリティに影響なしと確認

アメリカ合衆国ニューヨーク市 – 2025年6月16日月曜日 – インターチェーンラボ（ICL）は、セキュリティアライアンス（SEAL）およびアシンメトリックリサーチ（AR）と協力して、後に朝鮮民主主義人民共和国（DPRK）に関連付けられた個人によるコスモスリポジトリへの過去の貢献に関するセキュリティレポートを公開しました。この個人は、ICLが設立される前、2022年中頃から2024年11月までの期間に、元のコアスタックのメンテナンスベンダーによって雇用されていました。ICLの設立とコアスタック開発責任の全面的な引き継ぎにより、新しいセキュリティおよび採用プロトコルが導入され、この問題を表面化させ、さらなる貢献を防ぎました。レポートでは、これらの過去の貢献がコスモスアーキテクチャに対して即時または将来のリスクをもたらさないことが確認されました。 俳優の身元が判明した後、ICLとARはリスクの持続的なアクセスが防がれることを保証するための積極的なセキュリティ措置を講じ、不要な貢献者を削除しました。ICLの安全な採用方針の実施により、この俳優の再認識が促進され、ICLの新しい試みられた応募者として彼の拒絶が実現しました。 レポート自体は、以前のメンテナによる個人の貢献とアクセスが次のリポジトリに限定されていたことを発見しました：

• cosmos/IAVL
• cosmos/cosmos-sdk

個人の身元を知った後、ICLはアシンメトリックリサーチ（AR）と協力して包括的な調査を開始し、展開状況に関係なくすべての貢献をレビューしました。これらのレビューは、この俳優によって作成されたほぼすべてのSDKコードが、ICLの再組織後の移行中に、特にSDK v2のキャンセルの結果としてすでに廃止またはロードマップから除外されていたと結論付けました。すでにリリースされたIAVLおよびコスモスSDKの貢献をレビューした結果、広範な多団体による独立した監査の後、リスクや脆弱性は見つかりませんでした。 2月以降、ICLはすべてのコスモスコアリポジトリで一連のセキュリティアップグレードを実行しています。これには、旧式のアクセスの取り消し、すべての貢献者の再許可、資格情報のローテーション、および統合やトークン構成の保護が含まれます。GitHubの権限は、全体のコスモスGitHub組織にわたって均一なブランチ保護のルールセットと拡張された監査機能を強制することによって体系的に強化されました。これらの対策は、この事件を受けて強化されました。 継続的なセキュリティと透明性を促進するために、ICLはコミュニティを招待し、個人に関連する見落とされた問題を表面化させるよう促しています。今後1ヶ月間、コスモスのHackerOneページでは、「cool-develope」というGitHubアカウントに関連する資格がある脆弱性に対して報酬を2倍にします。 インターチェーンラボの共同CEOであるバリー・プランケット氏は次のように述べています。「このような事件は、Web3エコシステム内だけでなく、より広範な技術分野全体で採用されているより厳密なセキュリティ手続きの緊急性を示しています。透明性とセキュリティは、コスモスエコシステム内での私たちの最優先事項です。今年、インターチェーンラボの下でコスモススタックの開発を統合して以来、私たちはスタック全体で厳密なセキュリティ標準を更新し、強化しました。これにより、私たちの指導の下で関与した個人からのさらなる貢献を防ぐことができました。DPRKアクターによる悪意のあるコードの寄与は見られませんでしたが、バウンティプログラムを通じてさらなるコミュニティレビューを奨励し、私たちが計画しているIAVL v2のリリースによるコードベースの完全廃止を進めます。」 コスモススタックへのすべての貢献がインターチェーンラボに集中するようになったことで、財団はより効率的なセキュリティ慣行を導入し、人事ガードレールを強化して、スタック全体を包括的に防衛し、リスク許容度が異なるサードパーティプロバイダーへの依存を排除できます。この進展は、同じ俳優が今年初めにエンジニアリングの役割のために新しい別名の下でICLに再応募を試みたときにすぐに表れ、潜在的な悪意のある俳優としてタグ付けされたときに拒否されました。 アシンメトリックリサーチのジョナサン・クラウディウス氏は次のように述べています：「このケースは、オープンソースエコシステムが積極的で継続的なセキュリティを必要とすることを思い出させます。コスモスが悪意ある俳優による侵入を受けた最初のエコシステムではなく、最後でもありません。透明性は信頼を築くだけでなく、他の人が自分のシステムを強化するために適用できる教訓を表面化させます。これらの学習はより広範なエコシステムに利益をもたらし、層状の協力的な防衛戦略の重要性を強化します。セキュリティアライアンスなどのイニシアチブと積極的なセキュリティへの強化された焦点は、Web3スペースをより強く、より回復力のあるものにするのです。」 バリー・プランケット氏とブランドン・ペイト氏はコメントに応じます インターチェーンラボについて： インターチェーンラボは、独立して、スケーラブルで持続可能かつ相互運用可能なブロックチェーンの分散型ネットワークであるコスモスの開発および成長チームです。コスモスは、250以上のアプリとサービスを持ち、410億ドル以上の市場価値を持つ、最大のブロックチェーンエコシステムの一つです。インターチェーンラボは、コスモスハブ、コスモスエコシステム、およびブロックチェーンを構築するためのソフトウェアスイートであるインターチェーンスタックの開発を主導しています。インターチェーンラボは、コスモスプラットフォームを核として、より自由で公正なインターネットの構築を目指しています。詳細はhttps://interchain.io/をご覧ください。 ARについて アシンメトリックリサーチ（AR）は、L1/L2ブロックチェーンやDeFiプロトコルとの長期的なパートナーシップを専門とするブティックセキュリティベンチャーです。その核となる仕事は、web3セキュリティの4つの主要な領域：研究、インシデント対応、エンジニアリング、インフラサービスにわたっています。ARは、チームが堅牢なシステムを構築し、セキュリティの姿勢を強化し、新たな脅威に積極的に対処するのを助けます。 SEALについて SEALは、web3における主要なセキュリティチームとプロトコルの連合であり、協力、情報共有、迅速な対応を通じてブロックチェーンセキュリティの標準を引き上げることに取り組んでいます。インセンティブを合わせ、共通の枠組みを確立することにより、SEALは脅威や悪用からエコシステムを保護し、分散型技術のためのより安全で、より回復力のある未来を促進します。 メディアの問い合わせ先：interchain@wachsman.com       _________________________________________________________________________ Bitcoin.comは、記事で言及されたコンテンツ、商品、またはサービスの使用またはそれに依存したことによって、またはそれに関連して生じた、または生じたとされる損害または損失について直接的または間接的にいかなる責任または賠償責任を負いません。