Interchain Labs, Asymmetric Research, 및 SEAL Alliance, DPRK 관련 소셜 엔지니어링 시도의 보고서를 발행; 보고서는 Cosmos Stack 보안에 영향이 없음을 확인

미국 뉴욕시 – 2025년 6월 16일 월요일 – 인터체인 랩스(ICL)는 보안 연합(SEAL) 및 비대칭 연구소(AR)와 협력하여, 이후 조선민주주의인민공화국(DPRK)과 관련이 있는 것으로 밝혀진 개인의 Cosmos 저장소에 대한 과거 기여에 대한 보안 보고서를 발표했습니다. 이 개인은 과거 핵심 스택 유지 관리 공급업체에서 2022년 중반부터 2024년 11월까지 고용되었으며, ICL이 설립되고 제3자 유지 관리 모델이 폐기되기 전까지 근무했습니다. ICL 설립 후, 모든 핵심 스택 개발 책임을 전면 인수한 뒤로 새로운 보안 및 채용 프로토콜이 도입되어 문제가 표면화되고 추가 기여가 방지되었습니다. 보고서는 이러한 과거 기여가 Cosmos 아키텍처에 즉각적이거나 미래적 위험을 초래하지 않는다고 확인했습니다.

행위자가 식별된 후 – ICL과 AR은 지속적 접근 위험에 대비하여 불필요한 기여자를 제거하고, 위험을 차단하기 위한 보안 조치를 취했습니다. ICL의 안전한 채용 정책 시행은 이 개인을 ICL에 새로 구직 신청한 신원으로 재식별하고 거절하게 했습니다.

보고서 자체는 이전 유지 관리자 하에서 개인의 기여 및 접근이 다음과 같은 저장소로 제한되었음을 발견했습니다:

• cosmos/IAVL
• cosmos/cosmos-sdk

개인의 신원을 알게 된 후, ICL은 비대칭 연구소(AR)와 협력하여 모든 기여를 검토하기 위한 포괄적인 조사를 시작했습니다. 이 검토는 이 행위자가 저술한 거의 모든 SDK 코드가 이미 ICL의 재구성 이후 전환 중에 폐기되었거나 로드맵에서 제외되었다고 결론지었습니다. 특히 SDK v2의 취소 결과로 인해. 이미 출시된 IAVL 및 Cosmos SDK 기여의 검토에서, 수많은 독립 심사가 이루어진 후에도 위험이나 취약점이 발견되지 않았습니다.

2월 이후, ICL은 모든 Cosmos 핵심 저장소에 대한 보안 업그레이드를 실행하고 있습니다. 여기에는 기존 접근 해지, 모든 기여자의 권한 재설정, 자격 증명 회전, 모든 통합 및 토큰 구성의 보안 확보가 포함됩니다. GitHub 권한은 전체 Cosmos GitHub 조직 전반에 걸친 조정된 가지 보호 및 확장된 감사 기능의 규칙 집합을 통해 체계적으로 강화되었습니다. 이러한 조치는 이번 사건을 계기로 더욱 강화되었습니다.

보안과 투명성을 지속적으로 유지하기 위해, ICL은 커뮤니티가 개인과 관련된 미처 발견되지 않은 문제들을 표면화할 수 있도록 초대하고 있습니다. 다음 한 달 동안 Cosmos의 HackerOne 페이지는 “cool-develope” GitHub 계정과 관련된 취약점에 대해 자격이 있는 경우 두 배의 보상금을 제공합니다.

Interchain Labs의 공동 CEO Barry Plunkett는 말했습니다: “이와 같은 사건은 Web3 생태계 내에서뿐만 아니라 보다 광범위한 기술 환경에서도 보다 광범위하게 채택되고 엄격한 보안 절차가 시급히 필요하다는 것을 보여줍니다. 투명성과 보안은 Cosmos 생태계 내에서 우리의 최우선 과제입니다. 올해 ICL 하에 Cosmos 스택의 개발을 통합한 이후, 우리는 스택 전반에 걸쳐 엄격한 보안 표준을 업데이트하고 시행했습니다. 이를 통해 DPRK 관련 개인의 추가 기여를 우리 지도 하에 예방할 수 있었습니다. 우리는 DPRK 행위자가 작성한 악성 코드의 증거를 발견하지 못했지만, 우리의 포상 프로그램을 통해 커뮤니티의 추가 검토를 장려하고 있으며 IAVL v2의 전체 재작성 계획 발표를 통해 코드베이스를 완전히 폐기할 예정입니다.”

이제 모든 Cosmos 스택에 대한 기여가 Interchain Labs에 집중됨에 따라, 재단은 보다 효율적인 보안 관행을 구현하고, 다양한 위험 허용성을 가진 제3자 제공업체에 대한 의존을 제거하여 스택 전체를 침투 방어하는 인적 자원 안전 장치를 시행할 수 있습니다. 이러한 발전은 동일한 행위자가 올해 초 ICL에 엔지니어링 역할로 새로운 별칭으로 다시 지원하려고 시도했을 때 빠르게 드러났으며, 잠재적으로 악의적인 행위자로 표시되어 거절되었습니다.

비대칭 연구소의 Jonathan Claudius는 말했습니다: “이 사례는 오픈 소스 생태계가 능동적이고 지속적인 보안을 요구한다는 것을 상기시켜줍니다. Cosmos는 악의적인 행위자에게 침투당한 첫 번째 생태계가 아니며 마지막도 아닐 것입니다. 투명성은 신뢰를 쌓을 뿐만 아니라 다른 사람들이 자신의 시스템을 강화하기 위해 적용할 수 있는 교훈을 표면화합니다. 이러한 학습은 더 광범위한 생태계에 이익을 주며, 계층적이고 협력적인 방어 전략의 중요성을 강화합니다. 보안 연합과 같은 이니셔티브와 함께 능동적인 보안에 대한 집중은 웹3 공간을 더 강하고 회복력 있게 만들 것입니다.”

Barry Plunkett와 Brandon Pate는 논평 가능합니다

Interchain Labs 소개:

Interchain Labs는 독립적이고 확장 가능하며 지속적이고 상호 운영 가능한 블록체인의 탈중앙화 네트워크 Cosmos를 위한 개발 및 성장 팀입니다. Cosmos는 250개 이상의 애플리케이션과 서비스, 그리고 410억 달러 이상의 시장 가치를 가진 가장 큰 블록체인 생태계 중 하나입니다. Interchain Labs는 Cosmos Hub, Cosmos 생태계 및 블록체인 구축을 위한 소프트웨어 모음인 Interchain Stack에 대한 개발을 주도합니다. Interchain Labs는 Cosmos 플랫폼을 중심으로 더 자유롭고 공정한 인터넷을 구축하기 위해 노력하고 있습니다. 자세한 정보는 https://interchain.io/를 방문하세요.

AR 소개

비대칭 연구소(AR)는 L1/L2 블록체인 및 DeFi 프로토콜과의 장기 파트너십을 전문으로 하는 부티크 보안 벤처입니다. 그 핵심 작업은 웹3 보안의 4가지 주요 분야인 연구, 사건 대응, 엔지니어링 및 인프라 서비스를 아우릅니다. AR은 팀이 회복력 있는 시스템을 구축하고, 보안 태세를 강화하며, 신흥 위협에 선제적으로 대응할 수 있도록 지원합니다.

SEAL 소개

SEAL은 협업, 정보 공유 및 빠른 응답을 통해 블록체인 보안 표준을 높이기 위해 함께 일하는 웹3의 선도적인 보안 팀 및 프로토콜의 연합입니다. 인센티브를 조정하고 공유 프레임워크를 확립함으로써, SEAL은 위협 및 악용으로부터 생태계를 보호하여 탈중앙화 기술에 대한 더 안전하고 회복력 있는 미래를 조성합니다.

언론 문의는 다음 연락처로 연락하십시오: interchain@wachsman.com

 

 

 

_________________________________________________________________________

Bitcoin.com은 기사에 언급된 콘텐츠, 상품 또는 서비스의 사용 또는 신뢰와 관련하여 발생하거나 발생한 것으로 의심되는 손해 또는 손실에 대해 직접적 또는 간접적으로 책임을 지지 않으며, 책임을 지지 않습니다.