Bitget App
Trade smarter
Acheter des cryptosMarchésTradingFuturesCopyBotsEarn
Un audit de sécurité révèle des failles dans le module de jalonnement liquide de Cosmos Hub

Un audit de sécurité révèle des failles dans le module de jalonnement liquide de Cosmos Hub

CoineditionCoinedition2024/10/17 07:33
Par:By Coin Edition
  • Le Liquid Staking Module (LSM) est confronté à des risques de sécurité critiques, notamment des failles d’évasion de slashing.
  • Des développeurs liés à la Corée du Nord ont été impliqués dans le développement de LSM, soulevant des problèmes d’intégrité.
  • Malgré les avertissements, LSM a été intégré au Cosmos Hub sans corriger les principales vulnérabilités.

Un examen de sécurité a révélé de graves problèmes au sein du module de jalonnement liquide (LSM) intégré au Cosmos Hub. Développé par Iqlusion et dirigé par Zaki Manian, le LSM contient des vulnérabilités critiques qui pourraient compromettre l’intégrité du système et la sécurité des utilisateurs.

Le développement de LSM a commencé en août 2021, sous la direction d’Iqlusion et ensuite soutenu par plusieurs autres organisations, dont Stride Labs et Informal Systems. En juillet 2022, Oak Security a audité la base de code LSM et a trouvé de graves vulnérabilités, notamment celles liées à l’évasion slashing.

URGENT ALERT: AiB has uncovered cause for serious security concerns with Cosmos Hub's Liquid Staking Module (LSM).

Timeline:
* Aug 2021: LSM development begins, led by Iqlusion Zaki Manian
* Jul 2022: Oak Security audit reveals critical vulnerabilities; North Korean devs…

— All in Bits (@Allinbits_inc) October 15, 2024

Malgré ces découvertes, les développeurs nord-coréens qui ont écrit une partie importante du code ont été chargés de corriger les vulnérabilités, ce qui soulève des inquiétudes quant à l’intégrité du processus de remédiation.

En mars 2023, le FBI a informé Zaki Manian des liens des développeurs avec la Corée du Nord. Même en sachant cela, Zaki a tout de même fait la promotion du LSM comme terminé en avril 2023, poussant à son intégration dans le Cosmos Hub sans divulguer l’implication des développeurs nord-coréens ni les risques de sécurité. Cette décision a conduit à l’approbation d’une proposition en avril 2023 et à l’intégration du LSM dans le Cosmos Hub en septembre 2023.

Principales vulnérabilités et manque d’audits

Le LSM, commercialisé comme une mise à niveau sécurisée, introduit en fait des fonctionnalités qui permettent de slasher l’évasion, un problème critique mis en évidence dans l’audit d’Oak Security. Cette vulnérabilité permet aux participants d’éviter les pénalités, ce qui affaiblit le mécanisme de sécurité de base du système de preuve d’enjeu.

Bien que les développeurs affirment que cette conception était intentionnelle, les vulnérabilités persistantes ont mis en danger tous les jetons ATOM jalonnés, ce qui a potentiellement eu un impact sur l’ensemble du réseau Cosmos.

Lire aussi : Cosmos Hub renforce la sécurité avec des contrats intelligents autorisés

De plus, le code du LSM n’a pas fait l’objet d’un audit pendant 19 mois, même si des modifications ont été apportées pendant cette période. La version finale du module intégrée au Cosmos Hub en septembre 2023 contenait encore des problèmes non résolus, la plupart du code étant écrit par des développeurs avec des liens vers la RPDC.

Appels à l’action et à la transparence

En raison de la gravité de la situation, les parties prenantes de l’industrie exigent des actions correctives immédiates, notamment un audit complet du LSM, un examen approfondi de l’implication des développeurs nord-coréens et une transparence totale concernant la chronologie des événements.

La découverte de l’implication de la RPDC, combinée à l’absence de divulgation et aux risques de sécurité continus, a soulevé de sérieuses questions sur la gouvernance et les processus décisionnels qui sous-tendent les mises à niveau du Cosmos Hub.

Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.

0

Avertissement : le contenu de cet article reflète uniquement le point de vue de l'auteur et ne représente en aucun cas la plateforme. Cet article n'est pas destiné à servir de référence pour prendre des décisions d'investissement.

PoolX : Bloquez vos actifs pour gagner de nouveaux tokens
Jusqu'à 12% d'APR. Gagnez plus d'airdrops en bloquant davantage.
Bloquez maintenant !