Cosmos đối mặt lo ngại bảo mật nghiêm trọng vì bị hacker Triều Tiên trà trộn vào đội dev

Liquid Staking Module của Cosmos đang đối mặt lo ngại bảo mật nghiêm trọng do mã nguồn được viết bởi developer đến từ Triều Tiên.

All in Bits (AiB), một đơn vị phát triển mạng lưới Cosmos đã công bố báo cáo về các vấn đề nghiêm trọng trong Liquidity Staking Module (LSM) của Cosmos Hub vào 16/10/2024, khi mà trong đó phần lớn mã nguồn được viết bởi các lập trình viên Triều Tiên.

NORTH KOREAN DEVELOPERS LINKED TO COSMOS HUB LIQUID STAKING MODULE CODE: REPORT

– Most of the Cosmos Hub's Liquid Staking Module (LSM) code was developed by North Korean agents, per All in Bits (AiB), a key contributor in the Cosmos ecosystem

Key Details:

– The module is… https://t.co/2GB6JnGBGk pic.twitter.com/eSXzpi1tBl

— BSCN (@BSCNews) October 16, 2024

Được phát triển bởi Iqlusion từ năm 2021, LSM đã trải qua nhiều thay đổi mà không được kiểm toán trong suốt 19 tháng. Zaki Manian, người chịu trách nhiệm phát triển, bị cáo buộc không minh bạch về các lỗ hổng này và không tiết lộ về sự tham gia của Triều Tiên, dẫn đến rủi ro cho toàn bộ ATOM đã stake.

Chi tiết vụ việc:

1. Phát hiện lỗ hổng bảo mật: Mô-đun LSM được thiết kế để cho phép người stake né tránh hình phạt slashing, điều này đi ngược lại nguyên tắc cơ bản của hệ thống proof-of-stake. Oak Security đã cảnh báo về vấn đề này nhưng vẫn chưa được khắc phục. Zaki Manian và Iqlusion đã nhận thức rõ lỗ hổng này nhưng vẫn cố gắng đẩy mạnh việc tích hợp LSM.

2. Sự tham gia của lập trình viên Triều Tiên: Đa số mã nguồn của LSM được phát triển bởi hai lập trình viên có liên kết với Triều Tiên: Jun Kai và Sarawut Sanit. Zaki Manian đã biết về điều này từ tháng 3 năm 2023 sau khi FBI tiết lộ thông tin, nhưng không công bố cho cộng đồng Cosmos. Thay vì tiến hành kiểm toán, Zaki tiếp tục đẩy mạnh việc tích hợp LSM mà không có sự kiểm tra kỹ lưỡng.

3. Thiếu minh bạch: Tháng 4 năm 2023, Zaki đã đưa ra đề xuất để tích hợp LSM mà không tiết lộ các rủi ro bảo mật hoặc sự tham gia của các lập trình viên Triều Tiên. Dự án LSM đã được ICF, Iqlusion, Stride Labs và Informal Systems đồng loạt ủng hộ, mặc dù mã nguồn vẫn còn chứa nhiều lỗ hổng chưa được kiểm toán.

4. Sự can thiệp của FBI: FBI đã cảnh báo về sự liên quan của Triều Tiên vào tháng 3 năm 2023, nhưng Zaki không hành động kịp thời. Mã nguồn của LSM đã không được kiểm toán trong 19 tháng trước khi được tích hợp vào Cosmos Hub, gây nguy hiểm cho toàn bộ cộng đồng.

5. Yêu cầu của All in Bits: All in Bits khuyến nghị thực hiện ngay lập tức một cuộc kiểm toán toàn diện LSM, cùng với việc minh bạch thông tin liên quan đến lập trình viên Triều Tiên. Họ cũng đề xuất đưa ra danh sách đen các bên liên quan và thiết lập quy trình giám sát nghiêm ngặt hơn đối với các dự án được tài trợ bởi ICF.

Sự việc này đã gây ra sự mất lòng tin lớn trong cộng đồng Cosmos. All in Bits kêu gọi hành động nhanh chóng để bảo đảm an ninh cho hệ sinh thái và đề nghị phải có trách nhiệm rõ ràng từ những bên liên quan trong vụ việc này.