ICF og ICL med @asymmetric_re, @_SEAL_Org, @regen_network og @binary_builders publiserte en felles rapport om en tidligere ondsinnet bidragsyter til Cosmos-depoter. Rapporten bekreftet at det ikke er noen umiddelbare eller fremtidige risikoer for Cosmos-stabelen.

Etterforskningen identifiserte den ondsinnede aktøren som en ingeniør ansatt av tidligere leverandører av kjernestackvedlikehold mellom 2022 og 2024, før dannelsen og overtakelsen av ICL som kjerneutvikleren av Cosmos-stabelen. Denne hendelsen ble begrenset gjennom strukturelle reformer. Etter å ha konsolidert Cosmos-utviklingen under ICL, og med lanseringen av omfattende sikkerhetsoppgraderinger med @asymmetric_re, inkludert tilgangsrevisjoner, sentraliserte tillatelser, koderevisjoner og generell herding av utviklings- og organisasjonssikkerhetspraksis. Denne herdingen viste seg umiddelbart nyttig, da skuespilleren ble identifisert på nytt som jobbsøker og avvist. Med full støtte fra AR, Regen og Binary, ble alle koblede forpliktelser og binærfiler gjennomgått i dybden. Ingen ondsinnet kode eller angrepsvektorer ble funnet. Gjennomganger konkluderte med at nesten all SDK-kode forfattet av denne aktøren allerede hadde blitt avviklet eller ekskludert fra veikartet under ICLs overgang etter reorg, spesielt etter kanselleringen av SDK v2. Når det gjelder IAVL, ble det ikke funnet noen risikoer eller sårbarheter etter omfattende uavhengige revisjoner med flere parter. Uansett faktum, vil ICL-teamet fullstendig avvikle kodebasen gjennom vår allerede planlagte utgivelse av IAVL v2, som er en full omskriving av kodebasen.

Hele rapporten er tilgjengelig her:

Disse truslene er konstante på tvers av Web3-økosystemet. Derfor er det viktig å dele funn for å forbedre grunnlinjesikkerheten. ICL implementerte blant annet bidragsyter-KYC, GitHub-regelsett, fjerning av eldre tilgang og sterkere infrastrukturseparasjon.

Interchain Labs vil fortsette å re-revidere, re-gjennomgå og forsterke lagdelte forsvar. For å støtte en bredere gjennomgang har @Hacker0x01 dusører blitt doblet i en måned for alle gyldige problemer knyttet til bidragsyterens forpliktelser.

Vi takker Asymmetric Research, SEAL, Binary og Regen for deres raske svar. Den raske begrensningen og oppklaringen av denne hendelsen var nok en god test av våre nylig reimplementerte sikkerhetspolicyer, og validerte vår investering i proaktiv sikkerhet.