- El módulo de staking líquido (LSM) se enfrenta a riesgos de seguridad críticos, incluida la reducción de fallas de evasión.
- Los desarrolladores vinculados a Corea del Norte participaron en el desarrollo de LSM, lo que generó preocupaciones sobre la integridad.
- A pesar de las advertencias, LSM se integró en Cosmos Hub sin abordar las vulnerabilidades clave.
Una revisión de seguridad ha encontrado serios problemas dentro del Módulo de Staking Líquido (LSM) integrado en Cosmos Hub. Desarrollado por Iqlusion y dirigido por Zaki Manian, el LSM contiene vulnerabilidades críticas que podrían comprometer la integridad del sistema y la seguridad del usuario.
El desarrollo de LSM comenzó en agosto de 2021, liderado por Iqlusion y luego respaldado por varias otras organizaciones, incluidas Stride Labs e Informal Systems. En julio de 2022, Oak Security auditó el código base de LSM y encontró vulnerabilidades graves, especialmente las relacionadas con la evasión de cortes.
A pesar de estos hallazgos, los desarrolladores norcoreanos que escribieron una parte significativa del código se encargaron de corregir las vulnerabilidades, lo que generó preocupaciones sobre la integridad del proceso de corrección.
En marzo de 2023, el FBI notificó a Zaki Manian sobre los vínculos de los desarrolladores con Corea del Norte. Incluso con este conocimiento, Zaki siguió promocionando el LSM como terminado en abril de 2023, presionando para su integración en el Cosmos Hub sin revelar la participación de los desarrolladores norcoreanos ni los riesgos de seguridad. Esta decisión llevó a la aprobación de una propuesta en abril de 2023 y a la integración del LSM en el Cosmos Hub en septiembre de 2023.
Vulnerabilidades principales y falta de auditorías
El LSM, comercializado como una actualización segura, en realidad introduce características que permiten reducir la evasión, un problema crítico destacado en la auditoría de Oak Security. Esta vulnerabilidad permite a los participantes evitar penalizaciones, debilitando el mecanismo de seguridad central del sistema de prueba de participación.
Si bien los desarrolladores afirman que este diseño fue intencional, las vulnerabilidades persistentes ponen en riesgo todos los tokens ATOM apostados, lo que podría afectar a la red Cosmos en general.
Además, el código de la LSM no fue auditado durante 19 meses, a pesar de que se realizaron cambios durante ese tiempo. La versión final del módulo integrado en Cosmos Hub en septiembre de 2023 todavía contenía problemas sin resolver, y la mayor parte del código fue escrito por desarrolladores con enlaces a la RPDC.
Llamados a la acción y a la transparencia
Debido a la gravedad de la situación, las partes interesadas de la industria exigen acciones correctivas inmediatas, incluida una auditoría completa del LSM, una revisión exhaustiva de la participación de los desarrolladores norcoreanos y una transparencia total con respecto a la línea de tiempo de los eventos.
El descubrimiento de la participación de la RPDC, combinado con la falta de divulgación y los riesgos de seguridad en curso, ha planteado serias preguntas sobre la gobernanza y los procesos de toma de decisiones detrás de las actualizaciones de Cosmos Hub.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
