阅读
技术支持
Branded Spotlight

Interchain Labs、Asymmetric Research 和 SEAL Alliance 发布报告:朝鲜相关社会工程企图被限制;报告确认对 Cosmos Stack 安全性无影响

此内容由赞助商提供。

Alan InmanAlan Inman
分享
Interchain Labs、Asymmetric Research 和 SEAL Alliance 发布报告:朝鲜相关社会工程企图被限制;报告确认对 Cosmos Stack 安全性无影响

美国纽约市 – 2025年6月16日,星期一 – Interchain Labs (ICL) 与安全联盟 (SEAL) 和非对称研究 (AR) 合作,发布了一份安全报告,该报告涉及过去对 Cosmos 仓库的贡献。该贡献者后被确认与朝鲜民主主义人民共和国 (DPRK) 有关。该个人自2022年中期至2024年11月被前Core Stack维护供应商雇佣,然后ICL成立并第三方维护模式被淘汰。ICL成立并全面接管所有核心栈开发责任后,新的安全和招聘协议被引入,这揭示了问题并防止了进一步的贡献。报告确认,由于这些过去的贡献,对Cosmos架构没有直接或未来风险。

一旦该行动者被识别,ICL和AR采取了积极的安全行动,以确保对持久访问风险的防护,同时移除不必要的贡献者。ICL的安全招聘政策实施导致该行为者在作为ICL新应聘者时被重新识别并拒绝。

报告本身发现,该个人在以前维护者下的贡献和访问仅限于以下仓库:

  • cosmos/IAVL
  • cosmos/cosmos-sdk

在得知该个人身份后,ICL与非对称研究 (AR) 合作启动了一项全面调查,审查所有贡献——无论部署状态如何。这些审查得出结论:该行为者撰写的几乎所有SDK代码在ICL重组过渡后已被弃用或从路线图中排除,尤其是由于SDK v2的取消。在对已发布的IAVL和Cosmos SDK贡献进行审查后,广泛的多方独立审计后,没有发现任何风险或漏洞。

自二月份以来,ICL一直在对所有Cosmos核心仓库执行一系列安全升级。这些措施包括撤销传统访问权,对所有贡献者重新许可,轮换凭证,并保护任何集成或令牌配置。GitHub权限通过规则集系统地强化,强制执行统一的分支保护,并在整个Cosmos GitHub组织中扩展审计能力。这些措施在此事件发生后得到了加强。

为了促进持续的安全性和透明性,ICL邀请社区参与揭示与该个人相关的任何被忽视的问题。在接下来的一个月里,Cosmos的HackerOne页面将为任何符合资格的与GitHub账户“cool-develope”相关漏洞提供双倍奖励。

Interchain Labs的联合首席执行官Barry Plunkett说:“像这样的事件展示了在Web3生态系统内以及更广泛的技术领域内,更广泛采用和严格的安全程序的迫切需要。透明性和安全性是我们在Cosmos生态系统中的首要任务。自今年将Cosmos栈的开发统一在ICL下以来,我们已更新并实施了严格的安全标准。这使我们能够阻止该个人在我们领导下的进一步贡献。虽然我们没有发现DPRK行为者贡献的恶意代码的迹象,但我们通过我们的赏金计划激励进一步的社区审查,并将在即将推出的IAVL v2中彻底弃用代码库,这将是一次全面重写。

随着Cosmos Stack的所有贡献现已集中于Interchain Labs,基金会可以实施更高效的安全实践,并强制执行人力资源防线,为整个栈提供全面的防御,消除对具有不同风险容忍度的第三方提供者的依赖。这一进展迅速显示出来,今年早些时候同一行为者试图以新别名重新申请ICL的工程职位,被标记为潜在的恶意行为者后被拒绝。

来自非对称研究的Jonathan Claudius说:“这一案例提醒我们,开源生态系统需要积极、持续的安全措施。Cosmos不是第一个被恶意行为者渗透的生态系统,也不会是最后一个。透明性不仅构建信任,还揭示其他人可以应用以加强自己系统的教训。这些经验教训使更广泛的生态系统受益,并加强了分层的、协作的防御策略的重要性。对积极安全的关注,以及安全联盟等倡议,将有助于使web3空间更加坚固和有弹性。”

Barry Plunkett 和 Brandon Pate可接受评论。

关于 Interchain Labs:

Interchain Labs是Cosmos的开发和增长团队,Cosmos是一个去中心化网络,由独立、可扩展、可持续和可互操作的区块链组成。Cosmos是最大的区块链生态系统之一,拥有超过250个应用和服务,市值超过410亿美元。Interchain Labs领导Cosmos Hub、Cosmos生态系统和Interchain Stack的开发——这是一套用于构建区块链的软件套件。Interchain Labs努力通过Cosmos平台中心构建一个更加自由和公平的互联网。详细信息,请访问https://interchain.io/

关于 AR

非对称研究(AR)是一家精品安全风险投资公司,专门从事与L1/L2区块链和DeFi协议的长期合作。其核心工作涉及web3安全的四个关键领域:研究、事件响应、工程和基础设施服务。AR帮助团队构建弹性系统,加强安全态势,并积极应对新兴威胁。

关于 SEAL

SEAL是web3中领先安全团队和协议的联盟,通过合作、信息共享和快速响应提高区块链安全标准。通过对齐激励和建立共享框架,SEAL保护生态系统免受威胁和利用,为去中心化技术的更安全、更具弹性的未来铺平道路。

媒体查询,请联系: interchain@wachsman.com

 

 

 

_________________________________________________________________________

Bitcoin.com不承担任何责任,也不对因使用或依赖本文中提及的内容、商品或服务而直接或间接造成或声称造成的任何损害或损失负责。