Cosmos的流动性Staking模块面临来自朝鲜开发人员编写的代码的严重安全担忧。
Cosmos网络开发商All in Bits (AiB)在2024年10月16日发布了一份关于Cosmos Hub的流动性Staking模块(LSM)存在严重问题的报告,其中大部分代码由朝鲜程序员编写。
LSM由Iqlusion从2021年开始开发,在19个月内经历了多次未经审计的变更。负责开发的Zaki Manian被指责未能透明地披露这些漏洞,也未透露朝鲜人的参与,给全部已经Stake的ATOM带来了风险。
事件细节:
1. 发现安全漏洞: LSM模块被设计用于允许Staker逃避惩罚性削减,这违背了proof-of-stake系统的基本原则。Oak Security曾警告过这个问题,但它仍未得到解决。Zaki Manian和Iqlusion意识到这个漏洞,但仍在推动LSM的集成。
2. 朝鲜程序员的参与: LSM的大部分代码由两名与朝鲜有关联的程序员Jun Kai和Sarawut Sanit开发。Zaki Manian在2023年3月FBI披露信息后就知道这一点,但没有向Cosmos社群公开。相反,他继续推动LSM的集成,而没有进行彻底审查。
3. 缺乏透明度: 2023年4月,Zaki提出集成LSM的建议,但没有披露安全风险或朝鲜程序员的参与。尽管代码中仍存在许多未经审计的漏洞,但该项目获得了ICF、Iqlusion、Stride Labs和Informal Systems的一致支持。
4. FBI的干预: FBI在2023年3月就警告了朝鲜的参与,但Zaki没有及时采取行动。LSM的代码在19个月内未经审计就被集成到Cosmos Hub,给整个社群带来了危险。
5. All in Bits的要求: All in Bits建议立即全面审计LSM,并透明披露与朝鲜程序员有关的信息。他们还提出要列出黑名单,并对ICF资助的项目实施更严格的监管。
