Οι ανησυχίες σχετικά με την ασφάλεια του Liquid Staking Module του Cosmos Hub (LSM) έχουν ενταθεί μετά από αποκαλύψεις ότι υποτιθέμενοι προγραμματιστές από τη Βόρεια Κορέα συμμετείχαν στη δημιουργία της.
Σύμφωνα με το Crypto News, μια λεπτομερής έκθεση της εταιρείας ανάπτυξης blockchain All in Bits (AiB) αποκάλυψε μια σειρά από κρίσιμα λάθη, δυνητικούς κινδύνους ασφαλείας και σοβαρές ελλείψεις διαφάνειας από εκείνους που ηγούνταν της ανάπτυξης του LSM.
Οι κατηγορίες επικεντρώνονται στον Ζάκι Μάνιαν, μια σημαντική προσωπικότητα της κοινότητας Cosmos και επικεφαλής της Iqlusion, ο οποίος φαίνεται να ενημερώθηκε για την εμπλοκή Βόρειοκορεατών προγραμματιστών στην ανάπτυξη του LSM από τον Μάρτιο του 2023.
Η ανάπτυξη του LSM ξεκίνησε τον Αύγουστο του 2021. Ήταν υπό την ηγεσία της Iqlusion και υποστηριζόταν από άλλους παίκτες του οικοσυστήματος Cosmos, όπως η Stride Labs και η Informal Systems.
Ο LSM σχεδιάστηκε για να ενισχύσει τη ρευστότητα για τα στοιχημένα tokens ATOM, επιτρέποντας στους χρήστες να τα μετατρέπουν σε υγρά στοιχημένα περιουσιακά στοιχεία.
Ωστόσο, η έρευνα της AiB αποκάλυψε ότι οι Βόρειοκορεάτες προγραμματιστές έγραψαν ένα σημαντικό μέρος του κώδικα του LSM.
Τον Ιούλιο του 2022, η Oak Security διενήργησε έλεγχο στον LSM και αποκάλυψε σοβαρές ευπάθειες, συμπεριλαμβανομένων μηχανισμών που θα επέτρεπαν στους στοιχητές να αποφεύγουν ποινές slashing—ένα θεμελιώδες στοιχείο για την εξασφάλιση της ασφάλειας των blockchains proof-of-stake.
Αντί να επιλύσουν αυτές τις ανησυχίες με ανεξάρτητους ειδικούς, ο Ζάκι Μάνιαν και η Iqlusion φαίνεται να ανέθεσαν στους ίδιους Βόρειοκορεάτες προγραμματιστές να διορθώσουν τις ευπάθειες του κώδικα. Αυτό κατέστρεψε τη διαδικασία αποκατάστασης και εξέθεσε το σύστημα σε περαιτέρω κινδύνους, καθώς οι προγραμματιστές που πιθανώς εισήγαγαν τις ευπάθειες ήταν τώρα υπεύθυνοι για τη διόρθωσή τους.
Τον Μάρτιο του 2023, το FBI ενημέρωσε τον Ζάκι Μάνιαν για την εμπλοκή των Βόρειοκορεατών προγραμματιστών. Παρά αυτή την κρίσιμη πληροφορία, ο Μάνιαν δεν ενημέρωσε την κοινότητα του Cosmos. Αντίθετα, τον Απρίλιο του 2023, πίεσε για μια πρόταση σήμανσης (Signaling Proposal) για την ενσωμάτωση του LSM στο Cosmos Hub, ισχυριζόμενος ότι η μονάδα ήταν “έτοιμη για ανάπτυξη.” Αυτό συνέβη ενώ σημαντικές ευπάθειες ασφαλείας παρέμεναν ανεπίλυτες. Μέχρι τον Σεπτέμβριο του 2023, ο LSM ενσωματώθηκε στο Hub, με 19 μήνες μη ελεγμένου κώδικα, θέτοντας ενδεχομένως σε κίνδυνο όλα τα στοιχημένα tokens ATOM.
Οι αποκαλύψεις προκάλεσαν εκτενείς ανησυχίες εντός της κοινότητας του Cosmos, με πολλούς να αμφισβητούν τη διαδικασία λήψης αποφάσεων και την έλλειψη διαφάνειας γύρω από την ανάπτυξη του LSM.
Η έκθεση της AiB έχει προτείνει αρκετά μέτρα, συμπεριλαμβανομένου ενός άμεσου ελέγχου του LSM, αυστηρότερων πρωτοκόλλων ασφάλειας για μελλοντικές συνεισφορές κώδικα και μεγαλύτερης διαφάνειας από το Interchain Foundation (ICF), το οποίο χρηματοδότησε την ανάπτυξη του LSM.
Παρομοίως, ο συνιδρυτής του Cosmos, Τζέι Κουόν, έχει εκφράσει σοβαρές ανησυχίες για την ασφάλεια του LSM και το ρόλο που διαδραμάτισε η Iqlusion και ο Ζάκι Μάνιαν.
Σε δήλωσή του, ο Κουόν τόνισε τους σοβαρούς κινδύνους που θέτει η εμπλοκή των Βόρειοκορεατών προγραμματιστών και επέκρινε τον Μάνιαν για την έλλειψη διαφάνειας.
Ο Κουόν δήλωσε: “Για δεκαέξι μήνες, ο LSM αναπτύχθηκε από άτομα που συνδέονται με τη Βόρεια Κορέα, και οι συνεισφορές τους ενσωματώθηκαν στο Cosmos Hub χωρίς κατάλληλο έλεγχο ασφαλείας.”
Κατηγόρησε τον Μάνιαν για “βαθιά αμέλεια” και κάλεσε σε άμεσες ενέργειες για την αντιμετώπιση των ευπαθειών και την ευθύνη των υπευθύνων.
Ο Κουόν επεσήμανε επίσης την ανάγκη για έναν συνολικό έλεγχο του LSM, υποστηρίζοντας ότι οι σχεδιαστικές ελλείψεις της μονάδας θα μπορούσαν να θέσουν σε κίνδυνο την ασφάλεια όλων των στοιχημένων tokens ATOM.
Δεδομένου ότι ο LSM δεν είναι μια αυτόνομη μονάδα, αλλά μια σειρά τροποποιήσεων στην υπάρχουσα υποδομή στοιχηματισμού, οποιαδήποτε ευπάθεια μέσα σε αυτήν θα μπορούσε να έχει εκτενείς συνέπειες για ολόκληρο το δίκτυο Cosmos.
Ο Κουόν κάλεσε επίσης την κοινότητα διακυβέρνησης του Cosmos να εφαρμόσει αυστηρότερες απαιτήσεις ελέγχου και πρωτόκολλα εποπτείας για μελλοντικές αναπτύξεις.
