Cosmos（コスモス）に重大な脆弱性が潜んでいる可能性=北朝鮮のハッカーによるコードインジェクションが発生

Cosmosに重大な脆弱性が潜んでいる可能性

コスモス（Cosmos/ATOM）は、開発者を装った北朝鮮の潜入ハッカーからコードを継承したため、依然として重大な脆弱性が潜んでいる可能性があり、研究者らは、Cosmosの流動性ステーキングモジュールを全面的に見直すか、ユーザーの資金がエクスプロイトにさらされるリスクがあることを発見した。

Cosmosの共同設立者ジェ・グォン（Jae Kwon）氏は、Cosmos HubのLSM （Liquid Staking Module）の完全性とセキュリティに関する懸念を提起し、北朝鮮に関連する個人がその発展に大きく貢献したことに注目している。2024年10月15日（火曜日）付けGithubへの投稿で、同氏は、「16カ月間LSMは北朝鮮にリンクされた個人によって開発され、彼らの貢献は適切なセキュリティ審査なしでCosmos Hubに統合された」と説明した。

LSMの構築は2021年に始まり、ザキ・マニアン（Zaki Manian）氏とIqlusion（アイキュルージョン）プロジェクトが主導。Iqlusion は、Cosmos Hub モジュールの開発活動に対してICF （Interchain Foundation：インターチェーン財団）から資金提供も受けているとのことだ。

8 月には、後に北朝鮮のハッキング活動に関係することが判明したジュン・カイ（Jun Kai）氏とサラウット・サニット（Sarawut Sanit）氏の2人の開発者がプロジェクトに参加。コードが監査を通過した後も、カイ氏とサニット氏はコード修正を任されていた。2人の開発者は2022年12月まで活動を続け、 FBI （Federal Bureau of Investigation：連邦捜査局）がザキ氏に情報を伝えるまで、彼らの関係は明らかにならなかったという。

LSMモジュールの脆弱性が明らかになるまでに何年もかかる

Cosmosコミュニティがコードベースプロセスに関するすべての情報を受け取るまでに何年もかかっている。

Stride and I rewrote the entire thing.

— Zaki ⚛️🍷 (@zmanian) October 2, 2024

いつの間にかスラッシュ回避の脆弱性は修復されたとみられているものの、Cosmosの共同創設者であるジェ氏とAllInBitsの研究者は、コードベースの一部は変更されておらず、依然としてリスクをもたらす可能性があると 主張 。同時に、ザキ氏はコードベースが最初から書き直されたと主張したが、そもそもコードを書き直す必要があった理由については依然として結論が出ていない。ザキ氏は、最初のLSMはコンセプトだったが、投票を求めるまでに書き直しにかかった時間はごくわずかだったと述べた。

Cosmosコミュニティメンバーは、LSMが依然として潜在的に悪意のあるコードに依存しているという 証拠 も提示。書き直しにも、開発者を装ったハッカーの貢献から取られた重要なセクションが含まれていたことが発覚。ATOMの流動性ステーキングモジュールは、スラッシングを回避しながら悪意のあるアクションを可能にするため、ハッカーは、ATOMステークにペナルティを受けることなく、エコシステム内で価値を生み出せる。LSMの最後のコミットは2022年2月のものであり、ハッカーがまだコードに関与していた時期と重なっている。2023年9月11日以降、このバージョンのコードはすでに19カ月間監査が行われていなかったが、Cosmosハブに統合されている。

コードベースは、その時点で知られていた脆弱性を開示することなく、コミュニティの 提案 によって投票で承認されており、LSMは、流動性ステーキングプロジェクトが最も人気のある仮想通貨の物語の1つであった時代に、Cosmosハブのソーシャルメディアを通じて宣伝された。

lots of confusion/misinformation about the north korean LSM on the hub.

let me, the south korean, clarify things a bit

let's dig in 👇

what's the vulnerability?

aib says a lot of things, but the only key thing that really matters is the claim is that LSM provides the ability… pic.twitter.com/KjhhLejOCY

— josh lee (@dogemos) October 16, 2024

ザキ氏は、2023年3月以来北朝鮮にリンクされている個人の関与を知っていたが、今月（2024年10月）になって初めて、ザキ氏は北朝鮮のハッカーを知っていることを認めた。現在、Cosmosハブの流動性ステーキングは機能し続けており、ハッキングの報告はないが、問題は依然として残っており、研究者は少なくとも別の監査、あるいは完全に新しいコードベースを強く求めている。