- Das Liquid Staking Module (LSM) ist mit kritischen Sicherheitsrisiken konfrontiert, einschließlich Slashing-Umgehungsfehlern.
- Mit Nordkorea verbundene Entwickler waren an der LSM-Entwicklung beteiligt, was Bedenken hinsichtlich der Integrität aufkommen ließ.
- Trotz Warnungen wurde LSM in den Cosmos Hub integriert, ohne die wichtigsten Schwachstellen zu beheben.
Bei einer Sicherheitsüberprüfung wurden schwerwiegende Probleme mit dem in den Cosmos Hub integrierten Liquid Staking Module (LSM) festgestellt. Das von Iqlusion entwickelte und von Zaki Manian geleitete LSM enthält kritische Schwachstellen, die die Integrität des Systems und die Sicherheit der Benutzer gefährden könnten.
Die Entwicklung von LSM begann im August 2021 unter der Leitung von Iqlusion und später von mehreren anderen Organisationen, darunter Stride Labs und Informal Systems. Im Juli 2022 prüfte Oak Security die LSM-Codebasis und fand schwerwiegende Schwachstellen, insbesondere solche, die mit der Umgehung von Slashing zusammenhängen.
Trotz dieser Ergebnisse wurden die nordkoreanischen Entwickler, die einen erheblichen Teil des Codes geschrieben hatten, mit der Behebung der Schwachstellen beauftragt, was Bedenken hinsichtlich der Integrität des Behebungsprozesses aufkommen ließ.
Im März 2023 informierte das FBI Zaki Manian über die Verbindungen der Entwickler zu Nordkorea. Trotz dieses Wissens bewarb Zaki das LSM immer noch als fertiggestellt im April 2023 und drängte auf seine Integration in den Cosmos Hub, ohne die Beteiligung der nordkoreanischen Entwickler oder die Sicherheitsrisiken offenzulegen. Diese Entscheidung führte im April 2023 zur Genehmigung eines Antrags und im September 2023 zur Integration des LSM in den Cosmos Hub.
Zentrale Schwachstellen und fehlende Audits
Das LSM, das als sicheres Upgrade vermarktet wird, führt tatsächlich Funktionen ein, die es ermöglichen, die Umgehung zu verringern, ein kritisches Problem, das im Oak Security-Audit hervorgehoben wurde. Diese Schwachstelle ermöglicht es den Teilnehmern, Strafen zu vermeiden, und schwächt den zentralen Sicherheitsmechanismus des Proof-of-Stake-Systems.
Die Entwickler behaupten zwar, dass dieses Design beabsichtigt war, aber die anhaltenden Schwachstellen gefährden alle eingesetzten ATOM-Token und wirken sich möglicherweise auf das breitere Cosmos-Netzwerk aus.
Lesen Sie auch: Cosmos Hub erhöht die Sicherheit mit zugelassenen Smart Contracts
Darüber hinaus blieb der Kodex des LSM 19 Monate lang ungeprüft, obwohl in dieser Zeit Änderungen vorgenommen wurden. Die endgültige Version des Moduls, das im September 2023 in den Cosmos Hub integriert wurde, enthielt noch ungelöste Probleme, da der größte Teil des Codes von Entwicklern mit Verbindungen zu Nordkorea geschrieben wurde.
AUFRUFE ZUM HANDELN UND ZUR TRANSPARENZ
Aufgrund des Ernstes der Lage fordern die Interessenvertreter der Branche sofortige Korrekturmaßnahmen, einschließlich einer vollständigen Prüfung des LSM, einer gründlichen Überprüfung der Beteiligung nordkoreanischer Entwickler und vollständiger Transparenz über den zeitlichen Ablauf der Ereignisse.
Die Aufdeckung einer Beteiligung der DVRK in Verbindung mit der mangelnden Offenlegung und den anhaltenden Sicherheitsrisiken hat ernsthafte Fragen über die Governance- und Entscheidungsprozesse hinter den Modernisierungen des Cosmos Hub aufgeworfen.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
