Le créateur de Cosmos, All in Bits (AiB), a récemment émis une alerte urgente, révélant que le module de jalonnement liquide (LSM) du Cosmos Hub présente de graves risques de sécurité puisqu'il a été développé par des individus liés à la Corée du Nord.
AiB estime que les contributions des développeurs ont été intégrées au Cosmos Hub sans contrôle de sécurité suffisant, ce qui déclenche des alertes sur des vulnérabilités potentielles.
Développeurs ayant des liens confirmés avec la Corée du Nord
Initialement développé en 2021 sous la direction de la société d'hébergement de validateurs Cosmos Iqlusion et de son leader Zaki Manian, avec les contributions de Stride Labs, Binary Builders et Informal Systems, le LSM était destiné à modifier les modules clés de Cosmos comme le jalonnement, la distribution et le slashing. Cependant, son intégration dans le Cosmos Hub, via Gaia, signifie que ces vulnérabilités pourraient potentiellement avoir un impact sur tous les ATOM jalonnés.
Dans une mise à jour, le cofondateur de Cosmos, Jae Kwon, a déclaré qu'AiB avait examiné les actions et omissions commises par Manian lors du développement et de la promotion du LSM, et avait soulevé de sérieuses inquiétudes concernant la transparence et la sécurité du Cosmos Hub.
La chronologie des événements entourant le développement et les problèmes de sécurité du LSM pour le Cosmos Hub révèle une série de faux pas, selon Kwon.
Le 24 juin 2021, la Fondation Interchain (ICF) a annoncé qu'Iqlusion avait obtenu un financement pour les travaux en cours sur Gaia, les mises à niveau du réseau et les produits dérivés de jalonnement. En août de la même année, Manian et Iqlusion ont commencé à développer le LSM, avec des contributions majeures de Jun Kai et Sarawut Sanit, identifiés plus tard comme liés à la Corée du Nord.
Un audit critique mené par Oak Security en juillet 2022 a révélé des vulnérabilités importantes, notamment en ce qui concerne l'évasion des attaques de slashing. Étonnamment, les mêmes développeurs nord-coréens responsables du code d'origine ont été chargés de résoudre ces problèmes, ce qui a porté atteinte à l'intégrité du processus de correction.
Malgré ces conclusions, Kwon a affirmé que Manian avait communiqué avec le FBI en mars 2023 au sujet des liens des développeurs avec la Corée du Nord, mais ne l’avait pas révélé à la communauté. Par la suite, Stride Labs a tenté d’améliorer la sécurité en avril 2023, mais son travail consistait principalement à porter le code original avec un minimum de refactorisation.
Le 19 avril 2023, une proposition de signalisation visant à intégrer le LSM au Cosmos Hub a été soumise, malgré les problèmes de sécurité non résolus. Cette proposition a progressé à travers différentes étapes, menant à l'intégration du LSM le 11 septembre 2023, soit 19 mois après le dernier audit.
En fin de compte, Manian a reconnu publiquement le 2 octobre 2024 qu'il était au courant des connexions avec la RPDC depuis mars 2023, mais qu'il n'avait pas informé la communauté Cosmos avant de plaider en faveur de l'intégration du LSM, soulevant d'importantes inquiétudes concernant la transparence et la sécurité au sein de l'écosystème Cosmos.
Un dirigeant de Cosmos appelle à la responsabilisation
Kwon a appelé à un audit complet du LSM et à une divulgation complète concernant l'implication des développeurs liés à la Corée du Nord. En outre, le cofondateur de Cosmos a également plaidé pour que la Fondation Interchain mette en place une liste noire des personnes et entités promouvant des protocoles non sécurisés, notamment Manian et Iqlusion.
Il a également souligné la nécessité d'établir des exigences d'audit pour le développement de codes subventionnés par l'ICF et d'élaborer des protocoles de surveillance pour garantir des évaluations de sécurité rigoureuses du code avant que de nouvelles implémentations ne soient proposées pour le Cosmos Hub.
L'article Cosmos Creator tire la sonnette d'alarme sur les liens nord-coréens dans le module Liquid Staking est apparu en premier sur CryptoPotato.
