Bitget App
Trade smarter
Acheter des cryptosMarchésTradingFuturesCopyBotsEarn
Un audit de sécurité révèle des failles dans le module de jalonnement liquide de Cosmos Hub

Un audit de sécurité révèle des failles dans le module de jalonnement liquide de Cosmos Hub

CoineditionCoinedition2024/10/17 07:33
Par:By Coin Edition
  • Le Liquid Staking Module (LSM) est confronté à des risques de sécurité critiques, notamment des failles d’évasion de slashing.
  • Des développeurs liés à la Corée du Nord ont été impliqués dans le développement de LSM, soulevant des problèmes d’intégrité.
  • Malgré les avertissements, LSM a été intégré au Cosmos Hub sans corriger les principales vulnérabilités.

Un examen de sécurité a révélé de graves problèmes au sein du module de jalonnement liquide (LSM) intégré au Cosmos Hub. Développé par Iqlusion et dirigé par Zaki Manian, le LSM contient des vulnérabilités critiques qui pourraient compromettre l’intégrité du système et la sécurité des utilisateurs.

Le développement de LSM a commencé en août 2021, sous la direction d’Iqlusion et ensuite soutenu par plusieurs autres organisations, dont Stride Labs et Informal Systems. En juillet 2022, Oak Security a audité la base de code LSM et a trouvé de graves vulnérabilités, notamment celles liées à l’évasion slashing.

URGENT ALERT: AiB has uncovered cause for serious security concerns with Cosmos Hub's Liquid Staking Module (LSM).

Timeline:
* Aug 2021: LSM development begins, led by Iqlusion & Zaki Manian
* Jul 2022: Oak Security audit reveals critical vulnerabilities; North Korean devs…

— All in Bits (@Allinbits_inc) October 15, 2024

Malgré ces découvertes, les développeurs nord-coréens qui ont écrit une partie importante du code ont été chargés de corriger les vulnérabilités, ce qui soulève des inquiétudes quant à l’intégrité du processus de remédiation.

En mars 2023, le FBI a informé Zaki Manian des liens des développeurs avec la Corée du Nord. Même en sachant cela, Zaki a tout de même fait la promotion du LSM comme terminé en avril 2023, poussant à son intégration dans le Cosmos Hub sans divulguer l’implication des développeurs nord-coréens ni les risques de sécurité. Cette décision a conduit à l’approbation d’une proposition en avril 2023 et à l’intégration du LSM dans le Cosmos Hub en septembre 2023.

Principales vulnérabilités et manque d’audits

Le LSM, commercialisé comme une mise à niveau sécurisée, introduit en fait des fonctionnalités qui permettent de slasher l’évasion, un problème critique mis en évidence dans l’audit d’Oak Security. Cette vulnérabilité permet aux participants d’éviter les pénalités, ce qui affaiblit le mécanisme de sécurité de base du système de preuve d’enjeu.

Bien que les développeurs affirment que cette conception était intentionnelle, les vulnérabilités persistantes ont mis en danger tous les jetons ATOM jalonnés, ce qui a potentiellement eu un impact sur l’ensemble du réseau Cosmos.

Lire aussi : Cosmos Hub renforce la sécurité avec des contrats intelligents autorisés

De plus, le code du LSM n’a pas fait l’objet d’un audit pendant 19 mois, même si des modifications ont été apportées pendant cette période. La version finale du module intégrée au Cosmos Hub en septembre 2023 contenait encore des problèmes non résolus, la plupart du code étant écrit par des développeurs avec des liens vers la RPDC.

Appels à l’action et à la transparence

En raison de la gravité de la situation, les parties prenantes de l’industrie exigent des actions correctives immédiates, notamment un audit complet du LSM, un examen approfondi de l’implication des développeurs nord-coréens et une transparence totale concernant la chronologie des événements.

La découverte de l’implication de la RPDC, combinée à l’absence de divulgation et aux risques de sécurité continus, a soulevé de sérieuses questions sur la gouvernance et les processus décisionnels qui sous-tendent les mises à niveau du Cosmos Hub.

Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.

0

Avertissement : le contenu de cet article reflète uniquement le point de vue de l'auteur et ne représente en aucun cas la plateforme. Cet article n'est pas destiné à servir de référence pour prendre des décisions d'investissement.

PoolX : Bloquez vos actifs pour gagner de nouveaux tokens
Jusqu'à 12% d'APR. Gagnez plus d'airdrops en bloquant davantage.
Bloquez maintenant !

Vous pourriez également aimer

Le Royaume-Uni s'apprête à dévoiler des réglementations sur les cryptomonnaies et les stablecoins début 2025

Résumé rapide Le gouvernement travailliste du Royaume-Uni dévoilera un cadre réglementaire complet pour les cryptomonnaies début 2025, visant à simplifier la surveillance et à aborder des domaines clés tels que les stablecoins et le staking. Le plan du Royaume-Uni de publier son cadre crypto l'année prochaine reflète une course mondiale pour réguler l'industrie, avec d'autres juridictions, comme l'UE, qui avancent déjà des stratégies pour attirer l'innovation et les opportunités économiques.

The Block2024/11/22 18:13

Dan Gallagher, dirigeant de Robinhood, exclut de diriger la SEC

Dan Gallagher figurait sur la liste des candidats potentiels pour diriger la SEC dans une nouvelle administration. Gallagher a déclaré qu'il est dévoué à Robinhood et qu'il est "impatient de travailler avec la nouvelle administration" et le prochain président de la SEC dans une déclaration envoyée par e-mail à The Block.

The Block2024/11/22 18:13

L'industrie de la crypto réagit au départ de Gary Gensler en tant que président de la SEC

Les principaux acteurs de la crypto ont rapidement déclaré que le bitcoin et l'industrie crypto au sens large pourraient prospérer après le départ de Gensler en janvier.

The Block2024/11/22 18:13