ICF a ICL se společnostmi @asymmetric_re, @_SEAL_Org, @regen_network a @binary_builders zveřejnily společnou zprávu o bývalém škodlivém přispěvateli do úložišť Cosmos. Zpráva potvrdila, že neexistují žádná bezprostřední ani budoucí rizika pro Cosmos stack.

Vyšetřování identifikovalo škodlivého aktéra jako inženýra zaměstnaného bývalými dodavateli údržby core-stacku v letech 2022 až 2024, před vytvořením a převzetím společnosti ICL jako hlavního vývojáře Cosmos stacku. Tento incident byl zvládnut strukturálními reformami. Po konsolidaci vývoje Cosmosu v rámci ICL a po spuštění rozsáhlých upgradů zabezpečení pomocí @asymmetric_re, včetně auditů přístupu, centralizovaných oprávnění, opětovných auditů kódu a obecného posílení postupů vývoje a organizačního zabezpečení. Toto zpřísnění se okamžitě ukázalo jako užitečné, protože herec byl znovu identifikován jako uchazeč o práci a odmítnut. S plnou podporou rozšířených realizací, Regenu a binárních souborů byly všechny propojené revize a binární soubory podrobeny důkladné kontrole. Nebyl nalezen žádný škodlivý kód ani vektory útoku. Recenze dospěly k závěru, že téměř veškerý kód SDK vytvořený tímto aktérem byl již zastaralý nebo vyřazený z plánu během přechodu ICL po reorganizaci, zejména po zrušení SDK v2. V případě IAVL nebyla po rozsáhlých nezávislých auditech provedených mnoha stranami zjištěna žádná rizika ani zranitelnosti. Bez ohledu na tuto skutečnost bude tým ICL zcela zastarávat kódovou základnu prostřednictvím našeho již plánovaného vydání IAVL v2, což je úplné přepsání kódové základny.

Celá zpráva je k dispozici zde:

Tyto hrozby jsou v celém ekosystému Web3 neustálé. Proto je důležité sdílet poznatky, které vám pomohou zlepšit základní zabezpečení. Společnost ICL mimo jiné implementovala KYC přispěvatele, sady pravidel GitHubu, odstranění staršího přístupu a silnější oddělení infrastruktury.

Interchain Labs bude pokračovat v opětovném auditu, revizi a posilování vrstvené obrany. Aby bylo možné provést širší kontrolu, byly @Hacker0x01 odměny na jeden měsíc zdvojnásobeny za všechny platné problémy spojené se závazky přispěvatele.

Děkujeme společnostem Asymmetric Research, SEAL, Binary a Regen za jejich rychlé reakce. Rychlé zvládnutí a odstranění tohoto incidentu bylo dalším dobrým testem našich nedávno znovu zavedených bezpečnostních zásad, které potvrdily naše investice do proaktivní bezpečnosti.