مشکلات امنیتی جدی در ماژول لیکویید استیکینگ کازموس هاب

شرکت آل این بیتس (All in Bits) در بررسی‌های اخیر خود اعلام کرد مشکلات امنیتی جدی در ماژول لیکویید استیکینگ (Liquid Staking) کازماس هاب شناسایی کرده و این ماژول توسط عوامل کره شمالی توسعه داده شده است.

به گزارش میهن بلاکچین، این ماژول بدون حسابرسی مناسب به اکوسیستم کازموس هاب وارد شده و خطرات بالقوه‌ای برای اتم‌های استیک شده ایجاد می‌کند.

دخالت عوامل کره شمالی و خطرات امنیتی برای اتم‌های استیک شده

شرکت «آل این بیتس» (All in Bits)، توسعه‌دهنده نرم‌افزار در اکوسیستم کازموس (Cosmos)، در تاریخ ۲۵ مهر (۱۶ اکتبر) در گیت‌هاب اعلام کرد دلایل مشکلات امنیتی جدی در ماژول لیکویید استیکینگ (Liquidity Staking Module یا LSM) کازموس هاب را شناسایی کرده است. بررسی‌ها نشان می‌دهد بخش عمده‌ای از کد LSM توسط عوامل کره شمالی نوشته شده و این ماژول به‌عنوان یک ماژول مستقل عمل نمی‌کند، بلکه مجموعه‌ای از تغییرات روی ماژول‌های موجود استیکینگ (Staking)، تخصیص (Allocation) و اسلشینگ (Slashing) است که می‌تواند بر تمام اتم‌های (ATOM)‌ استیک شده تأثیر بگذارد.

همچنین، آسیب‌پذیری‌هایی وجود دارد که امکان دور زدن اسلشینگ را فراهم می‌آورد و ۱۹ ماه تغییرات کد بدون حسابرسی (Audit) انجام شده است. در این راستا، زاکی مانیان (Zaki Manian) و شرکت ایکلوژن (Iqlusion) به دلیل عدم شفافیت و اطلاعات غلط در مورد وضعیت امنیتی LSM تحت انتقاد قرار گرفتند.

آل این بیتس از جامعه کازموس خواسته است تا بلافاصله به اصلاح آسیب‌پذیری‌های بزرگ استیکینگ در LSM بپردازند و یک حسابرسی جامع از این ماژول انجام دهند. این شرکت همچنین خواستار افشای زمان‌بندی کامل دخالت کره شمالی در این تحقیق، ایجاد لیست سیاه برای طرف‌های مرتبط با اینترچین فاندیشن (ICF) و توسعه پروتکل‌های جدید برای نظارت بر پروژه‌های تأمین مالی شده توسط ICF شده است.

همچنین جی کوان (Jae Kwon)، یکی از بنیان‌گذاران کازموس، نگرانی‌های جدی را درباره یکپارچگی و امنیت LSM در پستی مطرح کرد. او بیان کرد به مدت ۱۶ ماه، این ماژول توسط افرادی مرتبط با کره شمالی توسعه داده شده و بدون بررسی‌های امنیتی مناسب در کازموس هاب یکپارچه شده است. کوان، زاکی مانیان و «ایکلوژن» را به «سهل‌انگاری بزرگ» متهم کرد و گفت که این افراد از آگوست ۲۰۲۱ به توسعه LSM پرداخته‌اند.

او همچنین افزود علی‌رغم آگاهی از دخالت عوامل کره شمالی از مارس ۲۰۲۳، مانیان این موضوع و سایر مشکلات امنیتی را پنهان و به جای انجام حسابرسی‌های اضافی یا افشای این موضوع به جامعه کازموس، اعلام کرده این ماژول «برای دیپلوی آماده است».

کوان همچنین اشاره کرد در حسابرسی سال ۲۰۲۲، آسیب‌پذیری‌های بحرانی در LSM کشف شد، اما همان عوامل کره شمالی مسئول رفع آن بودند. مانیان ادعا کرده کد LSM را پیش از دیپلوی دوباره نوشته، ولی این ادعا مشکوک به نظر می‌رسد. او تأکید کرد با توجه به اینکه LSM یک ماژول مستقل نیست، آسیب‌پذیری‌ها می‌توانند خطرات جدی برای تمام اتم‌های استیک شده ایجاد کنند.

در پایان، گزارش‌ها نشان می‌دهد بیش از یک دوجین شرکت کریپتویی به‌طور ناخواسته کارمندان IT از کره شمالی را استخدام کرده‌اند. این کارمندان با هویت‌های جعلی استخدام شده و تجربیات واقعی کاری ارائه دادند.

کوان در این باره خاطرنشان کرد در سال ۲۰۲۱، مانیان به‌طور تصادفی دو کارمند IT کره شمالی را برای کمک به توسعه بلاکچین کازموس هاب استخدام کرده است. این حوادث، پرسش‌های جدی را درباره امنیت و شفافیت در پروژه‌های بلاکچین کازموس و سایر پروژه‌های مشابه ایجاد کرده است.