En Resumen
- El cofundador de Cosmos, Jae Kwon, expresó preocupaciones sobre la integridad y seguridad del módulo de staking líquido (LSM) del Cosmos Hub, señalando que individuos vinculados a la República Popular Democrática de Corea (DPRK) contribuyeron significativamente a su desarrollo.
- Kwon atribuyó esta negligencia a la "negligencia grave" por parte de la firma de alojamiento de validadores de Cosmos, Iqlusion, y su líder, Zaki Manian.
- Kwon está preocupado de que actores vinculados a la RPDC hayan trabajado para completar un llamado "ataque de la cadena de suministro" en la infraestructura de Cosmos.
El cofundador de Cosmos, Jae Kwon, ha expresado preocupaciones sobre la integridad y seguridad del módulo de staking líquido (LSM) del Cosmos Hub, señalando que individuos vinculados a la República Popular Democrática de Corea (DPRK) contribuyeron significativamente a su desarrollo.
En una publicación de GitHub del martes, Kwon explicó que “durante dieciséis meses [...] el LSM fue desarrollado por individuos vinculados a Corea del Norte, y sus contribuciones fueron integradas en el Cosmos Hub sin una adecuada evaluación de seguridad." Atribuyó esta negligencia a la "negligencia grave" por parte de la firma de alojamiento de validadores de Cosmos, Iqlusion, y su líder, Zaki Manian.
Kwon está preocupado de que actores vinculados a la RPDC hayan trabajado para completar un llamado "ataque de la cadena de suministro" en la infraestructura de Cosmos. En un ataque de este tipo, desarrolladores maliciosos se infiltran en proyectos para incrustar vulnerabilidades en el código que luego pueden ser explotadas. Esta es una técnica que se ha convertido en una marca registrada de los hackers de la RPDC, según informó el Centro Nacional de Seguridad Cibernética del Reino Unido a finales de 2023.
Kwon explicó que el diseño de LSM permite "que los validadores eviten las sanciones al tokenizar sus delegaciones."
Josh Lee, cofundador del exchange descentralizado Osmosis, explicó en un tweet del 16 de octubre que "la premisa de la prueba de participación es que es segura porque hay responsabilidad de los participantes". Dijo que esto permitiría a un atacante tomar el control de la cadena al poseer una participación o cantidad en staking lo suficientemente grande sin exponerse a sanciones.
Manian e Iqlusion no respondieron de inmediato a una solicitud de comentario de Decrypt.
Iqlusion y Manian comenzaron a desarrollar el LSM en agosto de 2021 con los desarrolladores Jun Kai y Sarawut Sanit. Kwon afirmó más tarde que estos individuos eran agentes norcoreanos y que contribuyeron en su mayoría al código.
lots of confusion/misinformation about the north korean LSM on the hub.
let me, the south korean, clarify things a bit
let's dig in 👇
what's the vulnerability?
aib says a lot of things, but the only key thing that really matters is the claim is that LSM provides the ability… pic.twitter.com/KjhhLejOCY
— josh lee (@dogemos) October 16, 2024
Según Kwon, Manian estaba al tanto de la participación de individuos vinculados a Corea del Norte desde marzo de 2023, como admitió en redes sociales. A pesar de esto, supuestamente no reveló esta información ni abordó otros problemas de seguridad pendientes hasta principios de este mes.
"En lugar de tomar medidas proactivas, como realizar una auditoría adicional o divulgar este problema a la comunidad de Cosmos, Zaki afirmó públicamente que el módulo estaba 'listo para ser implementado'", escribió Kwon. Agregó que la falta de transparencia de Zaki representa "un juicio deficiente y una profunda violación de la confianza depositada en Iqlusion por la comunidad de Cosmos".
Una auditoría en 2022 descubrió vulnerabilidades críticas en el LSM, que Kwon alegó que fueron abordadas por las mismas personas vinculadas a Corea del Norte. También afirmó que la última fusión de código involucró a estos colaboradores. Manian dijo que reescribió el código del LSM, presumiblemente antes de la implementación, junto con la empresa de staking Stride.
Kwon afirmó además que dado que el LSM no es un módulo independiente, sino una colección de modificaciones y extensiones construidas sobre los módulos de staking de Cosmos existentes, por lo que cualquier vulnerabilidad podría representar riesgos significativos para todos los tokens ATOM en staking.
Hizo un llamado a la comunidad de gobernanza de Cosmos para llevar a cabo de inmediato una auditoría exhaustiva del LSM. Además, instó a la Fundación Interchain a implementar requisitos de auditoría más estrictos y desarrollar un protocolo de supervisión para garantizar la seguridad en las nuevas implementaciones de Cosmos.
Las noticias siguen a la advertencia del mes pasado del Buró Federal de Investigaciones de los Estados Unidos de que actores vinculados a la RPDC estaban llevando a cabo ahora "campañas de ingeniería social difíciles de detectar" contra aquellos que trabajan en el sector de las criptomonedas.
Editado por Stacy Elliott.