Interchain Labs, Asymmetric Research, і SEAL Alliance опублікували звіт про спробу соціальної інженерії, пов’язану з КНДР; звіт підтверджує відсутність впливу на безпеку Cosmos Stack

Нью-Йорк, Сполучені Штати – Понеділок, 16 червня 2025 року – Interchain Labs (ICL) у співпраці з Security Alliance (SEAL) та Asymmetric Research (AR) опублікувала звіт про безпеку стосовно минулих внесків до репозиторіїв Cosmos від особи, яка пізніше була ідентифікована як пов’язана з Корейською Народно-Демократичною Республікою (КНДР). Ця особа була працевлаштована у колишніх постачальників послуг з підтримки Core Stack з середини 2022 по листопад 2024 року, до створення ICL та відмови від моделі сторонньої підтримки. Після створення ICL та повного перебрання відповідальності за розробку Core Stack були введені нові протоколи безпеки та найму, які виявили проблему та запобігли подальшим внескам. У звіті підтверджено, що ці минулі внески не становлять негайної чи майбутньої загрози для архітектури Cosmos.

Після ідентифікації актора – ICL та AR вжили проактивних заходів безпеки для захисту від ризиків постійного доступу разом із видаленням непотрібних учасників. Впровадження політик безпечного найму ICL призвело до повторної ідентифікації цього актора як нового претендента на роботу в ICL та його відхилення.

Сам звіт встановив, що внески та доступ особи під керівництвом попередніх обслуговуючих команд були обмежені такими репозиторіями:

• cosmos/IAVL
• cosmos/cosmos-sdk

Після отримання інформації про особу ICL розпочала всебічне розслідування спільно з Asymmetric Research (AR), аналізуючи всі внески – незалежно від статусу розгортання. Ці перевірки показали, що майже уся SDK-код, написана цим актором, вже була застаріла або виключена з дорожньої карти під час перехідного періоду ICL, особливо через скасування SDK v2. Після перегляду вже випущених внесків IAVL і Cosmos SDK, після комплексних незалежних аудиторських перевірок не було знайдено жодних ризиків чи вразливостей.

З лютого ICL виконує серію покращень безпеки в усіх основних репозиторіях Cosmos. Це включає позбавлення доступу до спадщини, нове призначення дозволів усім учасникам, ротацію облікових даних та захист інтеграцій або конфігурацій токенів. Дозволи GitHub були систематично посилені за допомогою правил, що забезпечують уніфіковану захист гілок та розширені можливості аудиту для всієї організації Cosmos на GitHub. Ці заходи були посилені після цього інциденту.

Для сприяння подальшій безпеці та прозорості, ICL запрошує спільноту брати участь у виявленні будь-яких невиявлених проблем, пов’язаних з особою. Протягом наступного місяця на сторінці Cosmos HackerOne будуть пропонуватися подвоєні винагороди за будь-які відповідні вразливості, пов’язані з GitHub-акаунтом “cool-develope.”

Баррі Планкетт, співвиконавчий директор Interchain Labs, сказав: “Такі інциденти демонструють нагальну необхідність у більш широко прийнятих та жорстких процедурах безпеки не лише в екосистемі Web3, але і в усій технічній сфері. Прозорість та безпека – наш головний пріоритет в екосистемі Cosmos. Від об’єднання розвитку Cosmos Stack під керівництвом ICL цього року ми впровадили та забезпечили дотримання жорстких стандартів безпеки по всьому стеку. Це дозволило нам запобігти подальшим внескам від особи, яка бере участь, під нашим керівництвом. Хоча ми не знайшли жодних ознак шкідливого коду, внесеного актором КНДР, ми стимулюємо подальший громадський огляд через нашу програму нагород, і повністю знецінимо кодову базу через запланований випуск IAVL v2 – повний перепис.”

З консолідацією всіх внесків у Cosmos Stack, зосереджених зараз під керівництвом Interchain Labs, Фонд може впровадити більш ефективні практики безпеки та забезпечити додержання правил контролю за людськими ресурсами для забезпечення повного стека надійним захистом від проникнення, усуваючи залежність від сторонніх постачальників з різною терпимістю до ризику. Цей прогрес став помітним, коли той самий актор намагався знову звернутися під новим псевдонімом в ICL на посаду інженера на початку цього року, і був відхилений, коли був ідентифікований як потенційний шкідливий актор.

Джонатан Клаудіус з Asymmetric Research сказав: “Цей випадок нагадує, що екосистеми з відкритим вихідним кодом потребують проактивної, безперервної безпеки. Cosmos – не перша екосистема, яка стала жертвою шкідливих акторів, і не буде останньою. Прозорість не лише будує довіру, але й виявляє уроки, які інші можуть застосувати для зміцнення своїх систем. Ці уроки приносять користь ширшій екосистемі й підкреслюють важливість багаторівневих, спільних стратегій захисту. Посилений акцент на проактивній безпеці разом з ініціативами, такими як Security Alliance, допоможе зробити простір Web3 сильнішим і стійкішим.”

Баррі Планкетт та Брендон Пейт доступні для коментарів

Про Interchain Labs:

Interchain Labs – це команда розробки та зростання для Cosmos, децентралізованої мережі незалежних, масштабованих, стійких та інтероперабельних блокчейнів. Cosmos – одна з найбільших блокчейн-екосистем з понад 250 додатками та сервісами та понад 41 мільярдом доларів США ринкової капіталізації. Interchain Labs веде розробку для Cosmos Hub, екосистеми Cosmos та Interchain Stack – програмного забезпечення для створення блокчейнів. Interchain Labs прагне побудувати вільніший та справедливіший інтернет із платформою Cosmos у центрі. Для отримання додаткової інформації відвідайте https://interchain.io/.

Про AR

Asymmetric Research (AR) – це бутик-інвестфонд безпеки, що спеціализується на довгострокових партнерствах з L1/L2 блокчейнами та DeFi протоколами. Його основна робота охоплює чотири ключові домени безпеки web3: дослідження, реагування на інциденти, інженери та інфраструктурні послуги. AR допомагає командам будувати стійкі системи, зміцнювати безпекову поведінку та проактивно вирішувати нові загрози.

Про SEAL

SEAL – це коаліція провідних команд безпеки і протоколів у web3, які працюють разом для підвищення стандарту безпеки блокчейнів шляхом співпраці, обміну інформацією та швидкої реакції. Об’єднуючи стимули та встановлюючи спільні рамки, SEAL захищає екосистему від загроз та експлойтів, сприяючи безпечнішому та стійкішому майбутньому для децентралізованих технологій.

Для медіазапитів, будь ласка, звертайтеся за адресою: interchain@wachsman.com

 

 

 

_________________________________________________________________________

Bitcoin.com не несе жодної відповідальності або зобов’язань та не відповідає, прямо чи опосередковано, за будь-які збитки або втрати, спричинені або стверджувано спричинені використанням або довірою до будь-якого контенту, товарів чи послуг, згаданих у статті.