- Liquid Staking Module (LSM) menghadapi risiko keamanan kritis, termasuk mengurangi kelemahan penghindaran.
- Pengembang yang terkait dengan Korea Utara terlibat dalam pengembangan LSM, meningkatkan kekhawatiran integritas.
- Meskipun ada peringatan, LSM diintegrasikan ke dalam Cosmos Hub tanpa mengatasi kerentanan utama.
Tinjauan keamanan telah menemukan masalah serius dalam Liquid Staking Module (LSM) yang terintegrasi ke dalam Cosmos Hub. Dikembangkan oleh Iqlusion dan dipimpin oleh Zaki Manian, LSM berisi kerentanan kritis yang dapat membahayakan integritas sistem dan keselamatan pengguna.
Pengembangan LSM dimulai pada Agustus 2021, dipimpin oleh Iqlusion dan kemudian didukung oleh beberapa organisasi lain, termasuk Stride Labs dan Informal Systems. Pada Juli 2022, Oak Security mengaudit basis kode LSM dan menemukan kerentanan parah, terutama yang terkait dengan penghindaran pemotongan.
Terlepas dari temuan ini, pengembang Korea Utara yang menulis sebagian besar kode ditugaskan untuk memperbaiki kerentanan, meningkatkan kekhawatiran atas integritas proses remediasi.
Pada Maret 2023, FBI memberi tahu Zaki Manian tentang hubungan pengembang dengan Korea Utara. Bahkan dengan pengetahuan ini, Zaki masih mempromosikan LSM yang selesai pada April 2023, mendorong integrasinya ke Cosmos Hub tanpa mengungkapkan keterlibatan pengembang Korea Utara atau risiko keamanan. Keputusan ini mengarah pada persetujuan proposal pada April 2023 dan integrasi LSM ke dalam Cosmos Hub pada September 2023.
Kerentanan Inti dan Kurangnya Audit
LSM, yang dipasarkan sebagai peningkatan yang aman, sebenarnya memperkenalkan fitur yang memungkinkan penghindaran pemotongan, masalah kritis yang disorot dalam audit Oak Security. Kerentanan ini memungkinkan peserta untuk menghindari penalti, melemahkan mekanisme keamanan inti sistem proof-of-stake.
Sementara pengembang mengklaim desain ini disengaja, kerentanan yang terus-menerus menempatkan semua token ATOM yang dipertaruhkan dalam risiko, berpotensi memengaruhi jaringan Cosmos yang lebih luas.
Baca juga: Cosmos Hub untuk Meningkatkan Keamanan dengan Kontrak Cerdas yang Diizinkan
Selain itu, kode LSM tidak diaudit selama 19 bulan, meskipun perubahan dilakukan selama waktu itu. Versi final modul yang diintegrasikan ke dalam Cosmos Hub pada September 2023 masih berisi masalah yang belum terselesaikan, dengan sebagian besar kode ditulis oleh pengembang dengan tautan DPRK.
Seruan untuk Bertindak dan Transparansi
Karena parahnya situasi, pemangku kepentingan industri menuntut tindakan korektif segera, termasuk audit penuh terhadap LSM, tinjauan menyeluruh terhadap keterlibatan pengembang Korea Utara, dan transparansi lengkap mengenai garis waktu peristiwa.
Penemuan keterlibatan DPRK, dikombinasikan dengan kurangnya pengungkapan dan risiko keamanan yang sedang berlangsung, telah menimbulkan pertanyaan serius tentang tata kelola dan proses pengambilan keputusan di balik peningkatan Cosmos Hub.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
