El cofundador de Cosmos, Jae Kwon, ha expresado su preocupación por la integridad y seguridad del módulo de participación líquida (LSM) de Cosmos Hub, y señaló que personas vinculadas a la República Popular Democrática de Corea (RPDC) contribuyeron significativamente a su desarrollo. En una publicación del martes en GitHub, Kwon explicó que “durante dieciséis meses […] El LSM fue desarrollado por personas vinculadas a Corea del Norte, y sus contribuciones se integraron en el Cosmos Hub sin una investigación de seguridad adecuada». Atribuyó esta supervisión a una «negligencia grave» por parte de la empresa de alojamiento del validador Cosmos, Iqlusion, y su líder, Zaki Manian. Es de suponer que la preocupación es que los actores vinculados a la RPDC hayan trabajado para completar el llamado “ataque a la cadena de suministro” a la infraestructura de Cosmos. En tal ataque, los desarrolladores maliciosos se infiltran en los proyectos para incorporar vulnerabilidades en el código que luego pueden ser explotadas. eso se ha convertido en una marca registrada de los piratas informáticos de la RPDC, como informó el Centro Nacional de Seguridad Cibernética del Reino Unido a finales de 2023. Kwon explicó que el diseño de LSM permite “que los participantes evadan los recortes tokenizando sus delegaciones”. Josh Lee, cofundador de decentralized Exchange Osmosis, explicó en un tweet del 16 de octubre que «la premisa de la prueba de participación es que es segura porque existe responsabilidad por parte de las partes interesadas». Dijo que esto permitiría a un atacante tomar el control de la cadena al tener una participación lo suficientemente grande sin estar expuesto a cortes. Manian e Iqlusion no respondieron de inmediato a una solicitud de comentarios de Decrypt. Iqlusion y Manian comenzaron a desarrollar LSM en agosto de 2021. con los desarrolladores Jun Kai y Sarawut Sanit afirmaron más tarde que estos individuos eran agentes norcoreanos y que contribuyeron con la mayor parte del código.
Mucha confusión/información errónea sobre el LSM norcoreano en el centro. Déjame, el surcoreano, aclarar un poco las cosas, profundicemos 👇 ¿cuál es la vulnerabilidad? aib dice muchas cosas, pero lo único clave que realmente importa es la afirmación de que LSM proporciona la capacidad… pic.twitter.com/KjhhLejOCY
– josh lee (@dogemos) 16 de octubre de 2024
Según Kwon, Manian estaba al tanto de la implicación de personas vinculadas a Corea del Norte desde marzo de 2023, como admitió en las redes sociales. A pesar de esto, supuestamente no reveló esta información ni abordó otros problemas de seguridad no resueltos hasta principios de este mes. «En lugar de tomar medidas proactivas, como realizar una auditoría adicional o revelar este problema a la comunidad Cosmos, Zaki afirmó públicamente que el módulo estaba 'listo para ser desplegado'», escribió Kwon. Dijo que la falta de transparencia de Zaki representa «el mal juicio representa una profunda violación de la confianza depositada en Iqlusion por la comunidad Cosmos». Una auditoría en 2022 descubrió vulnerabilidades críticas en el LSM, que según Kwon fueron abordadas por las mismas personas vinculadas a Corea del Norte. También afirmó que la última fusión de código involucró a estos contribuyentes. Manian dijo que reescribió el código LSM, presumiblemente antes de la implementación, junto con la firma Stride. Kwon afirmó además que el LSM no es un módulo independiente, sino una colección de modificaciones. y las extensiones construidas sobre los módulos de participación de Cosmos existentes, cualquier vulnerabilidad podría representar riesgos significativos para todos los tokens ATOM apostados. Pidió a la comunidad de gobernanza de Cosmos que realice una auditoría integral del LSM de inmediato. Además, instó a la Fundación Interchain a implementar una implementación más estricta. requisitos de auditoría y desarrollar un protocolo de supervisión para garantizar la seguridad en las nuevas implementaciones de Cosmos. La noticia se produce después de que la Oficina Federal de Investigaciones de los Estados Unidos advirtiera el mes pasado que actores vinculados a la RPDC estaban llevando a cabo «campañas de ingeniería social difíciles de detectar» contra quienes trabajan en el sector criptográfico. Editado por Stacy Elliott.