- Модуль Liquid Staking (LSM) сталкивается с серьезными рисками безопасности, включая устранение уязвимостей, позволяющих уклониться от угона.
- Разработчики, связанные с Северной Кореей, были вовлечены в разработку LSM, что вызвало опасения относительно добросовестности.
- Несмотря на предупреждения, LSM был интегрирован в Cosmos Hub без устранения ключевых уязвимостей.
Проверка безопасности обнаружила серьезные проблемы в модуле Liquid Staking (LSM), интегрированном в Cosmos Hub. Разработанный Iqlusion и возглавляемый Заки Манианом, LSM содержит критические уязвимости, которые могут поставить под угрозу целостность системы и безопасность пользователя.
Разработка LSM началась в августе 2021 года под руководством Iqlusion, а затем ее поддержали несколько других организаций, включая Stride Labs и Informal Systems. В июле 2022 года Oak Security провела аудит кодовой базы LSM и обнаружила серьезные уязвимости, особенно связанные с уклонением от атак.
Несмотря на эти выводы, северокорейским разработчикам, написавшим значительную часть кода, было поручено устранить уязвимости, что вызвало опасения относительно целостности процесса устранения.
В марте 2023 года ФБР уведомило Заки Маниана о связях разработчиков с Северной Кореей. Даже зная об этом, Заки все равно продвигал LSM как завершенный в апреле 2023 года, настаивая на его интеграции в Cosmos Hub, не раскрывая причастности северокорейских разработчиков или рисков безопасности. Это решение привело к одобрению предложения в апреле 2023 года и интеграции LSM в Cosmos Hub в сентябре 2023 года.
Основные уязвимости и отсутствие аудита
LSM, позиционируемый как безопасное обновление, на самом деле вводит функции, которые позволяют сократить уклонение, критически важную проблему, отмеченную в аудите Oak Security. Эта уязвимость позволяет участникам избегать штрафов, ослабляя основной механизм безопасности системы proof-of-stake.
Хотя разработчики утверждают, что это было сделано намеренно, сохраняющиеся уязвимости подвергают риску все застейканные токены ATOM, что может повлиять на всю сеть Cosmos.
Читайте также: Cosmos Hub повысит безопасность с помощью разрешенных смарт-контрактов
Более того, код LSM не проверялся в течение 19 месяцев, хотя за это время в него вносились изменения. Финальная версия модуля, интегрированная в Cosmos Hub в сентябре 2023 года, все еще содержала нерешенные проблемы, причем большая часть кода была написана разработчиками, имеющими связи с КНДР.
Призывы к действию и прозрачности
В связи с серьезностью ситуации заинтересованные стороны отрасли требуют немедленных корректирующих действий, включая полную проверку LSM, тщательную проверку участия северокорейских разработчиков и полную прозрачность в отношении хронологии событий.
Раскрытие причастности КНДР в сочетании с нераскрытием информации и сохраняющимися рисками безопасности вызвало серьезные вопросы относительно процессов управления и принятия решений, лежащих в основе модернизации Cosmos Hub.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.