- O Liquid Staking Module (LSM) enfrenta riscos críticos de segurança, incluindo falhas de evasão de corte.
- Desenvolvedores ligados à Coreia do Norte estiveram envolvidos no desenvolvimento do LSM, levantando preocupações de integridade.
- Apesar dos avisos, o LSM foi integrado ao Cosmos Hub sem abordar as principais vulnerabilidades.
Uma revisão de segurança encontrou sérios problemas no Liquid Staking Module (LSM) integrado ao Cosmos Hub. Desenvolvido pela Iqlusion e liderado por Zaki Manian, o LSM contém vulnerabilidades críticas que podem comprometer a integridade do sistema e a segurança do usuário.
O desenvolvimento do LSM começou em agosto de 2021, liderado pela Iqlusion e posteriormente apoiado por várias outras organizações, incluindo Stride Labs e Informal Systems. Em julho de 2022, a Oak Security auditou a base de código do LSM e encontrou vulnerabilidades graves, especialmente aquelas relacionadas à evasão de corte.
Apesar dessas descobertas, os desenvolvedores norte-coreanos que escreveram uma parte significativa do código foram encarregados de corrigir as vulnerabilidades, levantando preocupações sobre a integridade do processo de correção.
Em março de 2023, o FBI notificou Zaki Manian sobre os laços dos desenvolvedores com a Coreia do Norte. Mesmo com esse conhecimento, Zaki ainda promoveu o LSM como concluído em abril de 2023, pressionando por sua integração ao Cosmos Hub sem divulgar o envolvimento dos desenvolvedores norte-coreanos ou os riscos de segurança. Esta decisão levou à aprovação de uma proposta em abril de 2023 e à integração do MLS no Cosmos Hub em setembro de 2023.
Principais vulnerabilidades e falta de auditorias
O LSM, comercializado como uma atualização segura, na verdade introduz recursos que permitem reduzir a evasão, uma questão crítica destacada na auditoria da Oak Security. Essa vulnerabilidade permite que os participantes evitem penalidades, enfraquecendo o mecanismo de segurança central do sistema de prova de participação.
Embora os desenvolvedores afirmem que esse design foi intencional, as vulnerabilidades persistentes colocam em risco todos os tokens ATOM apostados, potencialmente impactando a rede Cosmos mais ampla.
Leia também: Cosmos Hub para aumentar a segurança com contratos inteligentes autorizados
Além disso, o código do LSM não foi auditado por 19 meses, embora mudanças tenham sido feitas durante esse período. A versão final do módulo integrado ao Cosmos Hub em setembro de 2023 ainda continha problemas não resolvidos, com a maior parte do código sendo escrito por desenvolvedores com links da RPDC.
Apelos à ação e transparência
Devido à gravidade da situação, as partes interessadas do setor estão exigindo ações corretivas imediatas, incluindo uma auditoria completa do LSM, uma revisão completa do envolvimento de desenvolvedores norte-coreanos e total transparência em relação ao cronograma dos eventos.
A descoberta do envolvimento da RPDC, combinada com a falta de divulgação e os riscos de segurança contínuos, levantou sérias questões sobre os processos de governança e tomada de decisão por trás das atualizações do Cosmos Hub.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
