Interchain Labs erklärt, dass frühere Cosmos-Entwickler unwissentlich einen mit Nordkorea verbundenen Akteur aufgenommen haben, keine Sicherheitsprobleme festgestellt wurden und die Prämie verdoppelt wird

Interchain Labs hat bestätigt, dass eine Person, die später mit Nordkorea in Verbindung gebracht wurde, zwischen 2022 und 2024 zu Cosmos-Repositories beigetragen hat, während sie bei ehemaligen Wartungsunternehmen beschäftigt war.

Der Kernentwickler von Cosmos veröffentlichte in Zusammenarbeit mit der Security Alliance und Asymmetric Research einen Sicherheitsbericht, der bestätigte, dass diese Person nur eingeschränkten Zugriff auf zwei Repositories hatte: cosmos/IAVL und cosmos/cosmos-sdk. Die Überprüfung ergab, dass der Großteil des von ihm beigesteuerten Codes veraltet war oder nach der Einstellung von SDK v2 aus der Roadmap entfernt wurde. Unabhängige Audits fanden keine verbleibenden Risiken oder Schwachstellen.

Um die Transparenz zu fördern, bietet ICL im nächsten Monat auf der Cosmos HackerOne-Seite doppelte Prämien für das Auffinden qualifizierter Schwachstellen, die mit dem GitHub-Konto des Akteurs, "cool-develope", in Verbindung stehen.

Konkret arbeitete die Person von Mitte 2022 bis November 2024 für ehemalige Anbieter der Core-Stack-Wartung, also vor der Gründung von ICL und dem Ende des Drittanbieter-Wartungsmodells von Cosmos. Nachdem ICL die gesamte Core-Stack-Entwicklung übernommen hatte, wurden neue Sicherheits- und Einstellungsprotokolle eingeführt, wodurch das Problem aufgedeckt und weitere Beiträge blockiert wurden, wie es in einer an The Block übermittelten Stellungnahme heißt. Dieselbe Person bewarb sich später erneut um eine Stelle, wurde jedoch erkannt und abgelehnt.

Seit Februar, so ICL, wurden umfassende Sicherheits-Upgrades für alle zentralen Cosmos-Repositories umgesetzt, darunter die Aufhebung von Alt-Zugängen, die Neuvergabe von Berechtigungen an alle Mitwirkenden, der Austausch von Zugangsdaten und die Verschärfung der Audit-Kontrollen.

"Solche Vorfälle zeigen den dringenden Bedarf an weiter verbreiteten und strengeren Sicherheitsverfahren – nicht nur im Web3-Ökosystem, sondern in der gesamten Tech-Landschaft", sagte Interchain Labs Co-CEO Barry Plunkett. "Transparenz und Sicherheit haben für uns im Cosmos-Ökosystem oberste Priorität. Seit der Vereinheitlichung der Entwicklung des Cosmos Stack unter ICL in diesem Jahr haben wir strenge Sicherheitsstandards aktualisiert und durchgesetzt. Dadurch konnten wir verhindern, dass die betreffende Person unter unserer Leitung weitere Beiträge leistet. Auch wenn wir keine Hinweise auf bösartigen Code des DPRK-Akteurs gefunden haben, fördern wir durch unser Prämienprogramm eine weitere Überprüfung durch die Community und werden den Code mit der geplanten Veröffentlichung von IAVL v2, einer vollständigen Neuentwicklung, vollständig ausmustern."

ICL erklärte, dass die Zentralisierung aller Beiträge zum Cosmos Stack unter Interchain Labs es der Foundation ermöglicht habe, einheitliche Sicherheitspraktiken und HR-Protokolle anzuwenden und so die Abhängigkeit von Drittanbietern mit unterschiedlichen Risikotoleranzen zu verringern.

"Dieser Fall erinnert daran, dass Open-Source-Ökosysteme proaktive, kontinuierliche Sicherheit erfordern", sagte Jonathan Claudius, CEO von Asymmetric Research. "Cosmos ist nicht das erste Ökosystem, das von böswilligen Akteuren infiltriert wurde, und wird nicht das letzte sein. Transparenz schafft nicht nur Vertrauen, sondern bringt auch Erkenntnisse zutage, die andere nutzen können, um ihre eigenen Systeme zu stärken. Diese Learnings kommen dem gesamten Ökosystem zugute und unterstreichen die Bedeutung von mehrschichtigen, kooperativen Verteidigungsstrategien. Ein verstärkter Fokus auf proaktive Sicherheit sowie Initiativen wie die Security Alliance werden dazu beitragen, den Web3-Bereich robuster und widerstandsfähiger zu machen."

Nicht der erste mit der DRPK verbundene Akteur, der Cosmos infiltriert hat

Im Oktober äußerte Cosmos-Mitbegründer Jae Kwon separate Bedenken hinsichtlich der Integrität und Sicherheit des Liquid Staking Moduls von Cosmos Hub und erklärte, dass ein wesentlicher Teil seiner Entwicklung von Personen durchgeführt wurde, die später als nordkoreanische Agenten identifiziert wurden.

"Sechzehn Monate lang wurde das LSM von Personen entwickelt, die mit Nordkorea in Verbindung stehen, und ihre Beiträge wurden ohne angemessene Sicherheitsüberprüfung in den Cosmos Hub integriert", sagte Kwon damals und machte die "grobe Fahrlässigkeit" des Cosmos-basierten Entwicklungsunternehmens Iqlusion und dessen Leiter verantwortlich,Zaki Manian.

Iqlusion begann 2021 mit der Entwicklung des LSM zusammen mit Jun Kai und Sarawut Sanit, die Kwon später als nordkoreanische Agenten bezeichnete. Während eine Prüfung im Jahr 2022 kritische Schwachstellen aufdeckte, sollen denselben Entwicklern Berichten zufolge die Behebung dieser Probleme übertragen worden sein. Kwon behauptete, dass deren abschließender Code-Merge beibehalten wurde. Manian hingegen sagte, der Code sei vor der Implementierung in Zusammenarbeit mit dem Staking-Unternehmen Stride neu geschrieben worden.