Cosmos的流動性Staking模組面臨來自朝鮮開發人員編寫的程式碼的嚴重安全擔憂。
Cosmos網路開發商All in Bits (AiB)在2024年10月16日釋出了一份關於Cosmos Hub的流動性Staking模組(LSM)存在嚴重問題的報告,其中大部分程式碼由朝鮮程式設計師編寫。
LSM由Iqlusion從2021年開始開發,在19個月內經歷了多次未經審計的變更。負責開發的Zaki Manian被指責未能透明地披露這些漏洞,也未透露朝鮮人的參與,給全部已經Stake的ATOM帶來了風險。
事件細節:
1. 發現安全漏洞: LSM模組被設計用於允許Staker逃避懲罰性削減,這違背了proof-of-stake系統的基本原則。Oak Security曾警告過這個問題,但它仍未得到解決。Zaki Manian和Iqlusion意識到這個漏洞,但仍在推動LSM的整合。
2. 朝鮮程式設計師的參與: LSM的大部分程式碼由兩名與朝鮮有關聯的程式設計師Jun Kai和Sarawut Sanit開發。Zaki Manian在2023年3月FBI披露資訊後就知道這一點,但沒有向Cosmos社群公開。相反,他繼續推動LSM的整合,而沒有進行徹底審查。
3. 缺乏透明度: 2023年4月,Zaki提出整合LSM的建議,但沒有披露安全風險或朝鮮程式設計師的參與。儘管程式碼中仍存在許多未經審計的漏洞,但該專案獲得了ICF、Iqlusion、Stride Labs和Informal Systems的一致支援。
4. FBI的干預: FBI在2023年3月就警告了朝鮮的參與,但Zaki沒有及時採取行動。LSM的程式碼在19個月內未經審計就被整合到Cosmos Hub,給整個社群帶來了危險。
5. All in Bits的要求: All in Bits建議立即全面審計LSM,並透明披露與朝鮮程式設計師有關的資訊。他們還提出要列出黑名單,並對ICF資助的專案實施更嚴格的監管。