- Le Liquid Staking Module (LSM) est confronté à des risques de sécurité critiques, notamment des failles d’évasion de slashing.
- Des développeurs liés à la Corée du Nord ont été impliqués dans le développement de LSM, soulevant des problèmes d’intégrité.
- Malgré les avertissements, LSM a été intégré au Cosmos Hub sans corriger les principales vulnérabilités.
Un examen de sécurité a révélé de graves problèmes au sein du module de jalonnement liquide (LSM) intégré au Cosmos Hub. Développé par Iqlusion et dirigé par Zaki Manian, le LSM contient des vulnérabilités critiques qui pourraient compromettre l’intégrité du système et la sécurité des utilisateurs.
Le développement de LSM a commencé en août 2021, sous la direction d’Iqlusion et ensuite soutenu par plusieurs autres organisations, dont Stride Labs et Informal Systems. En juillet 2022, Oak Security a audité la base de code LSM et a trouvé de graves vulnérabilités, notamment celles liées à l’évasion slashing.
Malgré ces découvertes, les développeurs nord-coréens qui ont écrit une partie importante du code ont été chargés de corriger les vulnérabilités, ce qui soulève des inquiétudes quant à l’intégrité du processus de remédiation.
En mars 2023, le FBI a informé Zaki Manian des liens des développeurs avec la Corée du Nord. Même en sachant cela, Zaki a tout de même fait la promotion du LSM comme terminé en avril 2023, poussant à son intégration dans le Cosmos Hub sans divulguer l’implication des développeurs nord-coréens ni les risques de sécurité. Cette décision a conduit à l’approbation d’une proposition en avril 2023 et à l’intégration du LSM dans le Cosmos Hub en septembre 2023.
Principales vulnérabilités et manque d’audits
Le LSM, commercialisé comme une mise à niveau sécurisée, introduit en fait des fonctionnalités qui permettent de slasher l’évasion, un problème critique mis en évidence dans l’audit d’Oak Security. Cette vulnérabilité permet aux participants d’éviter les pénalités, ce qui affaiblit le mécanisme de sécurité de base du système de preuve d’enjeu.
Bien que les développeurs affirment que cette conception était intentionnelle, les vulnérabilités persistantes ont mis en danger tous les jetons ATOM jalonnés, ce qui a potentiellement eu un impact sur l’ensemble du réseau Cosmos.
Lire aussi : Cosmos Hub renforce la sécurité avec des contrats intelligents autorisés
De plus, le code du LSM n’a pas fait l’objet d’un audit pendant 19 mois, même si des modifications ont été apportées pendant cette période. La version finale du module intégrée au Cosmos Hub en septembre 2023 contenait encore des problèmes non résolus, la plupart du code étant écrit par des développeurs avec des liens vers la RPDC.
Appels à l’action et à la transparence
En raison de la gravité de la situation, les parties prenantes de l’industrie exigent des actions correctives immédiates, notamment un audit complet du LSM, un examen approfondi de l’implication des développeurs nord-coréens et une transparence totale concernant la chronologie des événements.
La découverte de l’implication de la RPDC, combinée à l’absence de divulgation et aux risques de sécurité continus, a soulevé de sérieuses questions sur la gouvernance et les processus décisionnels qui sous-tendent les mises à niveau du Cosmos Hub.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.