Cosmos đối mặt lo ngại bảo mật nghiêm trọng vì bị hacker Triều Tiên trà trộn vào đội dev

Liquid Staking Module của Cosmos đang đối mặt lo ngại bảo mật nghiêm trọng do mã nguồn được viết bởi developer đến từ Triều Tiên.

atomic-wallet-lazarus

All in Bits (AiB), một đơn vị phát triển mạng lưới Cosmos đã công bố báo cáo về các vấn đề nghiêm trọng trong Liquidity Staking Module (LSM) của Cosmos Hub vào 16/10/2024, khi mà trong đó phần lớn mã nguồn được viết bởi các lập trình viên Triều Tiên.

Được phát triển bởi Iqlusion từ năm 2021, LSM đã trải qua nhiều thay đổi mà không được kiểm toán trong suốt 19 tháng. Zaki Manian, người chịu trách nhiệm phát triển, bị cáo buộc không minh bạch về các lỗ hổng này và không tiết lộ về sự tham gia của Triều Tiên, dẫn đến rủi ro cho toàn bộ ATOM đã stake.

Bản báo cáo được AiB publish
Bản báo cáo được AiB publish

Chi tiết vụ việc:

1. Phát hiện lỗ hổng bảo mật: Mô-đun LSM được thiết kế để cho phép người stake né tránh hình phạt slashing, điều này đi ngược lại nguyên tắc cơ bản của hệ thống proof-of-stake. Oak Security đã cảnh báo về vấn đề này nhưng vẫn chưa được khắc phục. Zaki Manian và Iqlusion đã nhận thức rõ lỗ hổng này nhưng vẫn cố gắng đẩy mạnh việc tích hợp LSM.

2. Sự tham gia của lập trình viên Triều Tiên: Đa số mã nguồn của LSM được phát triển bởi hai lập trình viên có liên kết với Triều Tiên: Jun Kai và Sarawut Sanit. Zaki Manian đã biết về điều này từ tháng 3 năm 2023 sau khi FBI tiết lộ thông tin, nhưng không công bố cho cộng đồng Cosmos. Thay vì tiến hành kiểm toán, Zaki tiếp tục đẩy mạnh việc tích hợp LSM mà không có sự kiểm tra kỹ lưỡng.

3. Thiếu minh bạch: Tháng 4 năm 2023, Zaki đã đưa ra đề xuất để tích hợp LSM mà không tiết lộ các rủi ro bảo mật hoặc sự tham gia của các lập trình viên Triều Tiên. Dự án LSM đã được ICF, Iqlusion, Stride Labs và Informal Systems đồng loạt ủng hộ, mặc dù mã nguồn vẫn còn chứa nhiều lỗ hổng chưa được kiểm toán.

4. Sự can thiệp của FBI: FBI đã cảnh báo về sự liên quan của Triều Tiên vào tháng 3 năm 2023, nhưng Zaki không hành động kịp thời. Mã nguồn của LSM đã không được kiểm toán trong 19 tháng trước khi được tích hợp vào Cosmos Hub, gây nguy hiểm cho toàn bộ cộng đồng.

5. Yêu cầu của All in Bits: All in Bits khuyến nghị thực hiện ngay lập tức một cuộc kiểm toán toàn diện LSM, cùng với việc minh bạch thông tin liên quan đến lập trình viên Triều Tiên. Họ cũng đề xuất đưa ra danh sách đen các bên liên quan và thiết lập quy trình giám sát nghiêm ngặt hơn đối với các dự án được tài trợ bởi ICF.

Nguồn
Tuyên bố từ chối trách nhiệm: Nội dung trên chỉ là ý kiến của tác giả, không đại diện cho bất kỳ lập trường nào của Followin, không nhằm mục đích và sẽ không được hiểu hay hiểu là lời khuyên đầu tư từ Followin.
Thích
3
Thêm vào Yêu thích
Bình luận