Nhà sáng tạo Cosmos, All in Bits (AiB) gần đây đã đưa ra cảnh báo khẩn cấp, tiết lộ rằng Mô-đun Liquid Staking (LSM) của Cosmos Hub gây ra những rủi ro bảo mật nghiêm trọng vì nó được phát triển bởi những cá nhân có liên quan đến Triều Tiên.

AiB tin rằng những đóng góp của các nhà phát triển đã được tích hợp vào Cosmos Hub mà không được kiểm tra bảo mật đầy đủ, làm dấy lên báo động về các lỗ hổng tiềm ẩn.

Các nhà phát triển có liên kết được xác nhận với Bắc Triều Tiên

Ban đầu được phát triển vào năm 2021 dưới sự lãnh đạo của công ty lưu trữ xác thực Cosmos Iqlusion và người đứng đầu Zaki Manian, với sự đóng góp của Stride Labs, Binary Builders và Informal Systems, LSM được thiết kế để sửa đổi các mô-đun Cosmos chính như staking, distribution và slashing. Tuy nhiên, việc tích hợp vào Cosmos Hub, thông qua Gaia, có nghĩa là các lỗ hổng này có khả năng ảnh hưởng đến tất cả các ATOM đã staking.

Trong bản cập nhật, nhà đồng sáng lập Cosmos Jae Kwon cho biết AiB đã xem xét các hành động và thiếu sót do Manian thực hiện trong quá trình phát triển và quảng bá LSM, đồng thời nêu lên những lo ngại nghiêm trọng về tính minh bạch và an toàn của Cosmos Hub.

Theo Kwon, dòng thời gian các sự kiện xung quanh quá trình phát triển và các lo ngại về an ninh của LSM dành cho Cosmos Hub cho thấy một loạt sai lầm.

Vào ngày 24 tháng 6 năm 2021, Interchain Foundation (ICF) thông báo rằng Iqlusion đã bảo đảm được nguồn tài trợ cho công việc đang diễn ra trên Gaia, nâng cấp mạng lưới và các sản phẩm phái sinh staking. Vào tháng 8 cùng năm, Manian và Iqlusion bắt đầu phát triển LSM, với sự đóng góp lớn từ Jun Kai và Sarawut Sanit, sau đó được xác định là có liên quan đến Triều Tiên.

Một cuộc kiểm toán quan trọng của Oak Security vào tháng 7 năm 2022 đã phát hiện ra các lỗ hổng đáng kể, đặc biệt là liên quan đến việc né tránh cắt. Thật đáng kinh ngạc, chính các nhà phát triển Bắc Triều Tiên chịu trách nhiệm cho mã gốc đã được giao nhiệm vụ giải quyết các vấn đề này, làm suy yếu tính toàn vẹn của quy trình khắc phục.

Bất chấp những phát hiện này, Kwon tuyên bố rằng Manian đã liên lạc với FBI vào tháng 3 năm 2023 về mối quan hệ của các nhà phát triển với Triều Tiên nhưng không tiết lộ điều này với cộng đồng. Sau đó, Stride Labs đã cố gắng tăng cường bảo mật vào tháng 4 năm 2023, nhưng công việc của họ chủ yếu liên quan đến việc chuyển mã gốc với việc tái cấu trúc tối thiểu.

Vào ngày 19 tháng 4 năm 2023, một Đề xuất báo hiệu để tích hợp LSM vào Cosmos Hub đã được đệ trình, mặc dù các vấn đề bảo mật chưa được giải quyết. Đề xuất này đã tiến triển qua nhiều giai đoạn khác nhau, dẫn đến việc tích hợp LSM vào ngày 11 tháng 9 năm 2023, diễn ra 19 tháng sau lần kiểm toán cuối cùng.

Cuối cùng, vào ngày 2 tháng 10 năm 2024, Manian đã công khai thừa nhận rằng ông đã biết về mối liên hệ với CHDCND Triều Tiên kể từ tháng 3 năm 2023 nhưng không thông báo cho cộng đồng Cosmos trước khi ủng hộ việc tích hợp LSM, làm dấy lên những lo ngại đáng kể về tính minh bạch và bảo mật trong hệ sinh thái Cosmos.

Cosmos Exec kêu gọi trách nhiệm giải trình

Kwon kêu gọi kiểm toán toàn diện LSM và công bố đầy đủ về sự tham gia của các nhà phát triển có liên quan đến Triều Tiên. Ngoài ra, nhà đồng sáng lập Cosmos cũng ủng hộ Interchain Foundation thực hiện danh sách đen các cá nhân và tổ chức thúc đẩy các giao thức không an toàn, bao gồm Manian và Iqlusion.

Ông cũng nhấn mạnh nhu cầu thiết lập các yêu cầu kiểm toán đối với quá trình phát triển mã được ICF trợ cấp và phát triển các giao thức giám sát để đảm bảo đánh giá an toàn nghiêm ngặt đối với mã trước khi đề xuất triển khai mới cho Cosmos Hub.

Bài đăng Người sáng tạo Cosmos cảnh báo về mối liên hệ giữa Triều Tiên và mô-đun Liquid Staking xuất hiện đầu tiên trên CryptoPotato.