코스모스(Cosmos)의 유동성 스테이킹 모듈이 북한 개발자가 작성한 소스 코드로 인해 심각한 보안 우려에 직면했습니다.
코스모스(Cosmos) 네트워크 개발 업체인 All in Bits(AiB)는 2024년 10월 16일 코스모스 허브의 유동성 스테이킹 모듈(LSM)에 심각한 문제가 있다고 보고했습니다. 이 모듈의 대부분의 소스 코드가 북한 프로그래머들에 의해 작성되었습니다.
2021년부터 Iqlusion에 의해 개발된 LSM은 19개월 동안 감사 없이 많은 변경이 이루어졌습니다. 개발 책임자인 Zaki Manian은 이러한 취약점을 투명하게 공개하지 않았고, 북한의 참여 사실도 밝히지 않아 예치된 코스모스(ATOM) 전체에 위험을 초래했습니다.
사건 세부 내용:
1. 보안 취약점 발견: LSM은 예치자들이 슬래싱 처벌을 회피할 수 있도록 설계되었는데, 이는 proof-of-stake 시스템의 기본 원칙에 위배됩니다. Oak Security는 이 문제를 경고했지만 아직 해결되지 않았습니다. Zaki Manian과 Iqlusion은 이 취약점을 인지했지만 LSM 통합을 계속 추진했습니다.
2. 북한 프로그래머의 참여: LSM의 대부분의 소스 코드는 북한 연계 프로그래머인 Jun Kai와 Sarawut Sanit에 의해 개발되었습니다. Zaki Manian은 2023년 3월 FBI의 정보 공개 이후 이 사실을 알고 있었지만, 코스모스 커뮤니티에 공개하지 않았습니다. 대신 철저한 감사 없이 LSM 통합을 계속 추진했습니다.
3. 투명성 부족: 2023년 4월, Zaki는 보안 위험이나 북한 프로그래머의 참여 사실을 공개하지 않은 채 LSM 통합을 제안했습니다. LSM 프로젝트는 ICF, Iqlusion, Stride Labs, Informal Systems 등이 지원했지만, 감사되지 않은 많은 취약점이 여전히 존재했습니다.
4. FBI의 개입: FBI는 2023년 3월 북한의 관여 사실을 경고했지만, Zaki는 적시에 대응하지 않았습니다. LSM의 소스 코드는 코스모스 허브에 통합되기 전 19개월 동안 감사되지 않아 전체 커뮤니티에 위험을 초래했습니다.
5. All in Bits의 요구사항: All in Bits는 즉각적인 LSM에 대한 전면 감사와 북한 프로그래머 관련 정보 공개를 요구했습니다. 또한 관련 당사자에 대한 블랙리스트 작성과 ICF 지원 프로젝트에 대한 더 엄격한 감독 절차 수립을 제안했습니다.
