コスモスハブのリキッドステーキングモジュール、コア開発に北朝鮮工作員が関与
コスモスハブのLSMに北朝鮮工作員が関与
コスモスハブ(Cosmos Hub)のリキッドステーキングモジュール(LSM)に重大なセキュリティリスクを発見したと、コスモス(Cosmos)エコシステムの開発会社オールインビッツ(All in Bits)が公式Xアカウントにて10月16日に報告した。
その報告によるとコスモスハブのLSMの開発は、2021年8月にザキ・マニアン(Zaki Manian)氏によって設立されたコスモスバリデーターのホスティング会社イクルージョン(Iqlusion)によって開始された。しかし、後に北朝鮮と関係があることが判明したジュン・カイ(Jun Kai)氏とサラウット・サニット(Sarawut Sanit)がLSMのコードの大部分を提供していたという。
また2022年7月には、オークセキュリティ(Oak Security)の監査によりLSMに重大な脆弱性が発見されていたとのこと。この際に、元のコードの大部分を提供した同じ北朝鮮の開発者が、監査で明らかになった問題に対処する任務を負っていたという。
その後2023年3月にFBIが、LSMの開発に北朝鮮の開発者が関与していたことをマニアン氏に通告したとのこと。しかしマニアン氏はこの事実をコスモスコミュニティに開示しなかっただけでなく、脆弱性を放置し未監査のまま19か月間にわたりLSMのコードを変更していたという。マニアン氏はLSMのコスモスハブへの統合アナウンスをする前に、さらなる監査や北朝鮮の開発者が貢献したコードの徹底的なレビューを実施しなかったと報告書で指摘されている。
そして2024年10月2日にマニアン氏は、2023年3月時点で北朝鮮とのつながりを知りつつも、2023年4月にLSMシグナリング提案を推進する前に、この情報をコスモスコミュニティに開示しなかったことを認めたとのことだ。
なお現在もLSM内にスラッシングの回避を可能にする脆弱性が残っているとのこと。なおスラッシングとは、PoS(Proof of Stake)において不正を行ったバリデーターから、ステーキングされた資金を罰金として没収する機能のことだ。
LSMは独立したモジュールではなく、既存のステーキングや配布、スラッシング・モジュールに対して一連の修正を行うため、セキュリティリスクはシステム全体に影響する。そのため今回の問題は、ATOM保有者にとってリスクが高い状態にあることを意味している。
またオールインビッツは、コスモスのインフラストラクチャの開発・運営を支援するインターチェーン財団(ICF:Interchain Foundation)の他、ストライドラボ(Stride Labs)、インフォーマルシステムズ(Informal Systems)らがLSMの宣伝を行っていたことも指摘しており、ICFの透明性が低いことに対する提言も行った。
オールインビッツはこれらの問題への対応として、LSMの重大な脆弱性を直ちに修正し、即時の包括的なLSM監査を行うことや、北朝鮮工作員の関与の全容の開示、発見のスケジュールを明らかにすること、関係者のICFブラックリストを開示し、ICFが資金を提供するプロジェクトのための新たな監査・監督プロトコル作成を提案している。
URGENT ALERT: AiB has uncovered cause for serious security concerns with Cosmos Hub’s Liquid Staking Module (LSM).
— All in Bits (@Allinbits_inc) October 15, 2024
Timeline:
* Aug 2021: LSM development begins, led by Iqlusion & Zaki Manian
* Jul 2022: Oak Security audit reveals critical vulnerabilities; North Korean devs…
参考: 報告書
画像:iStocks/Panorama-Images
関連ニュース
- イーサL2「StarkNet」にコスモスIBC統合へ、インフォーマルシステムが協力
- コイントレードにコスモス(ATOM)上場、ステーキングにも対応
- コスモスハブで約5時間のチェーン停止が発生、現在は復旧済み
- リップル、「XRP Ledger」をコスモスのインターチェーンに接続へ
- コスモス「IBC」でトークン無限発行のバグ修正、アシメトリックリサーチ報告
関連するキーワード
コスモスハブのリキッドステーキングモジュール、コア開発に北朝鮮工作員が関与
この記事の著者・インタビューイ
田村聖次
和歌山大学システム工学部所属
格闘技やオーケストラ、茶道など幅広い趣味を持つ。
SNSでは、チェコ人という名義で、ブロックチェーンエンジニアや、マーケターとしても活動している。「あたらしい経済」の外部記者として記事の執筆も。
和歌山大学システム工学部所属
格闘技やオーケストラ、茶道など幅広い趣味を持つ。
SNSでは、チェコ人という名義で、ブロックチェーンエンジニアや、マーケターとしても活動している。「あたらしい経済」の外部記者として記事の執筆も。
合わせて読みたい記事
免責事項:本記事の内容はあくまでも筆者の意見を反映したものであり、いかなる立場においても当プラットフォームを代表するものではありません。また、本記事は投資判断の参考となることを目的としたものではありません。
こちらもいかがですか?
DeFiプロトコルThala、ハッカーとの交渉成功により2500万ドルを回収
概要 DeFiプロトコルのThalaは、ハッカーとの交渉が成功し、ハッカーが30万ドルのバグ報奨金を受け入れた後、流動性プールから流出した2,500万ドル以上を無事に回収したと発表しました。特定の操作を一時停止していたAptosベースのプロトコルは、現在コードベースの見直しと再監査を行っています。
マントラ(OM)価格、史上最高値を記録
OpSec CEOと主要スタッフ、ZachXBT調査後に集団辞任
トランプ貿易は投資家に2年間の利益をもたらす、今こそあなたの富を守る時だ