شرکت آل این بیتس (All in Bits) در بررسیهای اخیر خود اعلام کرد مشکلات امنیتی جدی در ماژول لیکویید استیکینگ (Liquid Staking) کازماس هاب شناسایی کرده و این ماژول توسط عوامل کره شمالی توسعه داده شده است.
به گزارش میهن بلاکچین، این ماژول بدون حسابرسی مناسب به اکوسیستم کازموس هاب وارد شده و خطرات بالقوهای برای اتمهای استیک شده ایجاد میکند.
دخالت عوامل کره شمالی و خطرات امنیتی برای اتمهای استیک شده
شرکت «آل این بیتس» (All in Bits)، توسعهدهنده نرمافزار در اکوسیستم کازموس (Cosmos)، در تاریخ ۲۵ مهر (۱۶ اکتبر) در گیتهاب اعلام کرد دلایل مشکلات امنیتی جدی در ماژول لیکویید استیکینگ (Liquidity Staking Module یا LSM) کازموس هاب را شناسایی کرده است. بررسیها نشان میدهد بخش عمدهای از کد LSM توسط عوامل کره شمالی نوشته شده و این ماژول بهعنوان یک ماژول مستقل عمل نمیکند، بلکه مجموعهای از تغییرات روی ماژولهای موجود استیکینگ (Staking)، تخصیص (Allocation) و اسلشینگ (Slashing) است که میتواند بر تمام اتمهای (ATOM) استیک شده تأثیر بگذارد.
همچنین، آسیبپذیریهایی وجود دارد که امکان دور زدن اسلشینگ را فراهم میآورد و ۱۹ ماه تغییرات کد بدون حسابرسی (Audit) انجام شده است. در این راستا، زاکی مانیان (Zaki Manian) و شرکت ایکلوژن (Iqlusion) به دلیل عدم شفافیت و اطلاعات غلط در مورد وضعیت امنیتی LSM تحت انتقاد قرار گرفتند.
آل این بیتس از جامعه کازموس خواسته است تا بلافاصله به اصلاح آسیبپذیریهای بزرگ استیکینگ در LSM بپردازند و یک حسابرسی جامع از این ماژول انجام دهند. این شرکت همچنین خواستار افشای زمانبندی کامل دخالت کره شمالی در این تحقیق، ایجاد لیست سیاه برای طرفهای مرتبط با اینترچین فاندیشن (ICF) و توسعه پروتکلهای جدید برای نظارت بر پروژههای تأمین مالی شده توسط ICF شده است.
همچنین جی کوان (Jae Kwon)، یکی از بنیانگذاران کازموس، نگرانیهای جدی را درباره یکپارچگی و امنیت LSM در پستی مطرح کرد. او بیان کرد به مدت ۱۶ ماه، این ماژول توسط افرادی مرتبط با کره شمالی توسعه داده شده و بدون بررسیهای امنیتی مناسب در کازموس هاب یکپارچه شده است. کوان، زاکی مانیان و «ایکلوژن» را به «سهلانگاری بزرگ» متهم کرد و گفت که این افراد از آگوست ۲۰۲۱ به توسعه LSM پرداختهاند.
او همچنین افزود علیرغم آگاهی از دخالت عوامل کره شمالی از مارس ۲۰۲۳، مانیان این موضوع و سایر مشکلات امنیتی را پنهان و به جای انجام حسابرسیهای اضافی یا افشای این موضوع به جامعه کازموس، اعلام کرده این ماژول «برای دیپلوی آماده است».
کوان همچنین اشاره کرد در حسابرسی سال ۲۰۲۲، آسیبپذیریهای بحرانی در LSM کشف شد، اما همان عوامل کره شمالی مسئول رفع آن بودند. مانیان ادعا کرده کد LSM را پیش از دیپلوی دوباره نوشته، ولی این ادعا مشکوک به نظر میرسد. او تأکید کرد با توجه به اینکه LSM یک ماژول مستقل نیست، آسیبپذیریها میتوانند خطرات جدی برای تمام اتمهای استیک شده ایجاد کنند.
در پایان، گزارشها نشان میدهد بیش از یک دوجین شرکت کریپتویی بهطور ناخواسته کارمندان IT از کره شمالی را استخدام کردهاند. این کارمندان با هویتهای جعلی استخدام شده و تجربیات واقعی کاری ارائه دادند.
کوان در این باره خاطرنشان کرد در سال ۲۰۲۱، مانیان بهطور تصادفی دو کارمند IT کره شمالی را برای کمک به توسعه بلاکچین کازموس هاب استخدام کرده است. این حوادث، پرسشهای جدی را درباره امنیت و شفافیت در پروژههای بلاکچین کازموس و سایر پروژههای مشابه ایجاد کرده است.
منابع و ارجاعات
پست آل این بیتس در گیتهاب (GitHub)
