dInterchain Labs, Asymmetric Research, dan SEAL Alliance Menerbitkan Laporan tentang Upaya Rekayasa Sosial Terkait DPRK yang Terkendali; Laporan Mengonfirmasi Tidak Ada Dampak pada Keamanan Cosmos Stack
New York City, Amerika Serikat – Senin, 16 Juni 2025 – Interchain Labs (ICL), bekerja sama dengan Security Alliance (SEAL) dan Asymmetric Research (AR), telah menerbitkan laporan keamanan tentang kontribusi masa lalu ke repositori Cosmos oleh seorang individu yang kemudian diidentifikasi terkait dengan (DPRK) Republik Rakyat Demokratik Korea. Individu ini dipekerjakan oleh mantan vendor pemeliharaan Core Stack dari pertengahan 2022 hingga November 2024, sebelum ICL didirikan dan model pemeliharaan pihak ketiga dihentikan. Setelah pembentukan dan pengambilalihan ICL dengan penuh dengan semua tanggung jawab pengembangan tumpukan inti, protokol keamanan dan perekrutan baru diperkenalkan yang memunculkan masalah dan mencegah kontribusi lebih lanjut. Laporan tersebut menegaskan bahwa tidak ada risiko langsung atau masa depan terhadap arsitektur Cosmos sebagai akibat dari kontribusi masa lalu ini.
Setelah aktor diidentifikasi – ICL dan AR mengambil tindakan keamanan proaktif untuk memastikan risiko akses yang berkelanjutan dilindungi, bersama dengan menghapus kontributor yang tidak perlu. Pelaksanaan kebijakan perekrutan aman ICL mengakibatkan re-identifikasi aktor ini sebagai pelamar kerja baru yang mencoba ke ICL yang ditolak.
Laporan itu sendiri menemukan bahwa kontribusi dan akses individu di bawah pemelihara sebelumnya terbatas pada repositori berikut:
cosmos/IAVL
cosmos/cosmos-sdk
Setelah mengetahui identitas individu tersebut, ICL meluncurkan penyelidikan komprehensif bekerja sama dengan Asymmetric Research (AR), meninjau semua kontribusi—terlepas dari status penempatan. Tinjauan ini menyimpulkan bahwa hampir semua kode SDK yang ditulis oleh aktor ini telah tidak digunakan lagi atau dikecualikan dari peta jalan selama transisi pasca-reorganisasi ICL, terutama sebagai akibat dari pembatalan SDK v2. Dalam tinjauan kontribusi IAVL dan Cosmos SDK yang sudah dirilis, tidak ada risiko atau kerentanan yang ditemukan setelah audit independen multi-pihak yang ekstensif.
Sejak Februari, ICL telah menjalankan serangkaian peningkatan keamanan di semua repositori inti Cosmos. Ini termasuk mencabut akses lama, mengizinkan kembali semua kontributor, memutar kredensial, dan mengamankan integrasi atau konfigurasi token apa pun. Izin GitHub diperkuat secara sistematis melalui kumpulan aturan yang memberlakukan perlindungan cabang yang seragam dan kemampuan audit yang diperluas di seluruh organisasi Cosmos GitHub. Langkah-langkah ini telah diperkuat setelah insiden ini.
Untuk mempromosikan keamanan dan transparansi yang berkelanjutan, ICL mengundang komunitas untuk berpartisipasi dalam mengungkapkan masalah yang terlewat terkait individu tersebut. Selama sebulan ke depan, halaman HackerOne Cosmos akan menawarkan hadiah ganda untuk setiap kerentanan yang memenuhi syarat terkait dengan akun GitHub "cool-develope."
Barry Plunkett, Co-CEO dari Interchain Labs, berkata: “Insiden seperti ini menunjukkan kebutuhan mendesak untuk prosedur keamanan yang lebih luas dan ketat, tidak hanya dalam ekosistem Web3 tetapi di seluruh lanskap teknologi yang lebih luas. Transparansi dan keamanan adalah prioritas utama kami dalam ekosistem Cosmos. Sejak menyatukan pengembangan Cosmos Stack di bawah ICL tahun ini, kami telah memperbarui dan menegakkan standar keamanan yang ketat di seluruh stack. Ini memungkinkan kami untuk mencegah kontribusi lebih lanjut dari individu yang terlibat di bawah kepemimpinan kami. Meskipun kami tidak menemukan indikasi kode jahat yang dikontribusikan oleh aktor DPRK, kami mendorong peninjauan lebih lanjut oleh komunitas melalui program bounty kami, dan akan sepenuhnya menghapus basis kode melalui rilis IAVL v2 yang direncanakan yang merupakan penulisan ulang penuh.
Dengan konsolidasi semua kontribusi ke Cosmos Stack yang sekarang terkonsentrasi di bawah Interchain Labs, Yayasan dapat menerapkan praktik keamanan yang lebih efisien dan menegakkan pengaman sumber daya manusia untuk memberikan seluruh stack pertahanan menyeluruh terhadap infiltrasi, menghilangkan ketergantungan pada penyedia pihak ketiga dengan toleransi risiko yang bervariasi. Kemajuan ini segera terlihat, ketika pelaku yang sama mencoba untuk mendaftar kembali dengan alias baru ke ICL untuk peran teknik awal tahun ini, dan ditolak ketika ditandai sebagai calon pelaku jahat.
Jonathan Claudius, dari Asymmetric Research, mengatakan: *"Kasus ini berfungsi sebagai pengingat bahwa ekosistem open-source membutuhkan keamanan yang proaktif dan berkelanjutan. Cosmos bukanlah ekosistem pertama yang disusupi oleh aktor jahat dan tidak akan menjadi yang terakhir. Transparansi tidak hanya membangun kepercayaan, tetapi juga memunculkan pelajaran yang dapat diterapkan orang lain untuk memperkuat sistem mereka sendiri. Pembelajaran ini bermanfaat bagi ekosistem yang lebih luas dan memperkuat pentingnya strategi pertahanan kolaboratif yang berlapis. Fokus yang diintensifkan pada keamanan proaktif, bersama dengan inisiatif seperti Security Alliance, akan membantu membuat ruang web3 lebih kuat dan lebih tangguh." *
Barry Plunkett dan Brandon Pate tersedia untuk komentar
Tentang Interchain Labs:
Interchain Labs adalah tim pengembangan dan pertumbuhan untuk Cosmos, jaringan terdesentralisasi dari blockchain independen, terukur, berkelanjutan, dan dapat dioperasikan. Cosmos adalah salah satu ekosistem blockchain terbesar, dengan lebih dari 250 aplikasi dan layanan dan kapitalisasi pasar lebih dari $41 miliar USD. Interchain Labs memimpin pengembangan untuk Cosmos Hub, ekosistem Cosmos, dan Interchain Stack – rangkaian perangkat lunak untuk membangun blockchain. Interchain Labs berusaha untuk membangun internet yang lebih gratis dan adil dengan platform Cosmos sebagai intinya. Untuk informasi lebih lanjut, kunjungi
Tentang AR
Asymmetric Research (AR) adalah usaha keamanan kecil yang mengkhususkan diri dalam kemitraan jangka panjang dengan blockchain L1/L2 dan protokol DeFi. Pekerjaan intinya mencakup empat domain kunci keamanan web3: penelitian, respons insiden, rekayasa, dan layanan infrastruktur. AR membantu tim membangun sistem yang tangguh, memperkuat posisi keamanan, dan secara proaktif mengatasi ancaman yang muncul.
Tentang SEAL
SEAL adalah koalisi tim keamanan terkemuka dan protokol di web3, yang bekerja sama untuk meningkatkan standar keamanan blockchain melalui kolaborasi, berbagi informasi, dan respons cepat. Dengan menyelaraskan insentif dan menetapkan kerangka kerja bersama, SEAL melindungi ekosistem dari ancaman dan eksploitasi, mendorong masa depan yang lebih aman dan lebih tangguh untuk teknologi terdesentralisasi.
Untuk pertanyaan media, silakan hubungi: interchain@wachsman.com
Bitcoin.com tidak menerima tanggung jawab atau kewajiban, dan tidak bertanggung jawab, secara langsung atau tidak langsung, atas kerusakan atau kehilangan yang disebabkan atau diduga disebabkan oleh atau sehubungan dengan penggunaan atau ketergantungan pada konten, barang, atau layanan yang disebutkan dalam artikel.
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
dInterchain Labs, Asymmetric Research, dan SEAL Alliance Menerbitkan Laporan tentang Upaya Rekayasa Sosial Terkait DPRK yang Terkendali; Laporan Mengonfirmasi Tidak Ada Dampak pada Keamanan Cosmos Stack
Konten ini disediakan oleh sponsor.
New York City, Amerika Serikat – Senin, 16 Juni 2025 – Interchain Labs (ICL), bekerja sama dengan Security Alliance (SEAL) dan Asymmetric Research (AR), telah menerbitkan laporan keamanan tentang kontribusi masa lalu ke repositori Cosmos oleh seorang individu yang kemudian diidentifikasi terkait dengan (DPRK) Republik Rakyat Demokratik Korea. Individu ini dipekerjakan oleh mantan vendor pemeliharaan Core Stack dari pertengahan 2022 hingga November 2024, sebelum ICL didirikan dan model pemeliharaan pihak ketiga dihentikan. Setelah pembentukan dan pengambilalihan ICL dengan penuh dengan semua tanggung jawab pengembangan tumpukan inti, protokol keamanan dan perekrutan baru diperkenalkan yang memunculkan masalah dan mencegah kontribusi lebih lanjut. Laporan tersebut menegaskan bahwa tidak ada risiko langsung atau masa depan terhadap arsitektur Cosmos sebagai akibat dari kontribusi masa lalu ini.
Setelah aktor diidentifikasi – ICL dan AR mengambil tindakan keamanan proaktif untuk memastikan risiko akses yang berkelanjutan dilindungi, bersama dengan menghapus kontributor yang tidak perlu. Pelaksanaan kebijakan perekrutan aman ICL mengakibatkan re-identifikasi aktor ini sebagai pelamar kerja baru yang mencoba ke ICL yang ditolak.
Laporan itu sendiri menemukan bahwa kontribusi dan akses individu di bawah pemelihara sebelumnya terbatas pada repositori berikut:
Setelah mengetahui identitas individu tersebut, ICL meluncurkan penyelidikan komprehensif bekerja sama dengan Asymmetric Research (AR), meninjau semua kontribusi—terlepas dari status penempatan. Tinjauan ini menyimpulkan bahwa hampir semua kode SDK yang ditulis oleh aktor ini telah tidak digunakan lagi atau dikecualikan dari peta jalan selama transisi pasca-reorganisasi ICL, terutama sebagai akibat dari pembatalan SDK v2. Dalam tinjauan kontribusi IAVL dan Cosmos SDK yang sudah dirilis, tidak ada risiko atau kerentanan yang ditemukan setelah audit independen multi-pihak yang ekstensif.
Sejak Februari, ICL telah menjalankan serangkaian peningkatan keamanan di semua repositori inti Cosmos. Ini termasuk mencabut akses lama, mengizinkan kembali semua kontributor, memutar kredensial, dan mengamankan integrasi atau konfigurasi token apa pun. Izin GitHub diperkuat secara sistematis melalui kumpulan aturan yang memberlakukan perlindungan cabang yang seragam dan kemampuan audit yang diperluas di seluruh organisasi Cosmos GitHub. Langkah-langkah ini telah diperkuat setelah insiden ini.
Untuk mempromosikan keamanan dan transparansi yang berkelanjutan, ICL mengundang komunitas untuk berpartisipasi dalam mengungkapkan masalah yang terlewat terkait individu tersebut. Selama sebulan ke depan, halaman HackerOne Cosmos akan menawarkan hadiah ganda untuk setiap kerentanan yang memenuhi syarat terkait dengan akun GitHub "cool-develope."
Barry Plunkett, Co-CEO dari Interchain Labs, berkata: “Insiden seperti ini menunjukkan kebutuhan mendesak untuk prosedur keamanan yang lebih luas dan ketat, tidak hanya dalam ekosistem Web3 tetapi di seluruh lanskap teknologi yang lebih luas. Transparansi dan keamanan adalah prioritas utama kami dalam ekosistem Cosmos. Sejak menyatukan pengembangan Cosmos Stack di bawah ICL tahun ini, kami telah memperbarui dan menegakkan standar keamanan yang ketat di seluruh stack. Ini memungkinkan kami untuk mencegah kontribusi lebih lanjut dari individu yang terlibat di bawah kepemimpinan kami. Meskipun kami tidak menemukan indikasi kode jahat yang dikontribusikan oleh aktor DPRK, kami mendorong peninjauan lebih lanjut oleh komunitas melalui program bounty kami, dan akan sepenuhnya menghapus basis kode melalui rilis IAVL v2 yang direncanakan yang merupakan penulisan ulang penuh.
Dengan konsolidasi semua kontribusi ke Cosmos Stack yang sekarang terkonsentrasi di bawah Interchain Labs, Yayasan dapat menerapkan praktik keamanan yang lebih efisien dan menegakkan pengaman sumber daya manusia untuk memberikan seluruh stack pertahanan menyeluruh terhadap infiltrasi, menghilangkan ketergantungan pada penyedia pihak ketiga dengan toleransi risiko yang bervariasi. Kemajuan ini segera terlihat, ketika pelaku yang sama mencoba untuk mendaftar kembali dengan alias baru ke ICL untuk peran teknik awal tahun ini, dan ditolak ketika ditandai sebagai calon pelaku jahat.
Jonathan Claudius, dari Asymmetric Research, mengatakan: *"Kasus ini berfungsi sebagai pengingat bahwa ekosistem open-source membutuhkan keamanan yang proaktif dan berkelanjutan. Cosmos bukanlah ekosistem pertama yang disusupi oleh aktor jahat dan tidak akan menjadi yang terakhir. Transparansi tidak hanya membangun kepercayaan, tetapi juga memunculkan pelajaran yang dapat diterapkan orang lain untuk memperkuat sistem mereka sendiri. Pembelajaran ini bermanfaat bagi ekosistem yang lebih luas dan memperkuat pentingnya strategi pertahanan kolaboratif yang berlapis. Fokus yang diintensifkan pada keamanan proaktif, bersama dengan inisiatif seperti Security Alliance, akan membantu membuat ruang web3 lebih kuat dan lebih tangguh." *
Barry Plunkett dan Brandon Pate tersedia untuk komentar
Tentang Interchain Labs:
Interchain Labs adalah tim pengembangan dan pertumbuhan untuk Cosmos, jaringan terdesentralisasi dari blockchain independen, terukur, berkelanjutan, dan dapat dioperasikan. Cosmos adalah salah satu ekosistem blockchain terbesar, dengan lebih dari 250 aplikasi dan layanan dan kapitalisasi pasar lebih dari $41 miliar USD. Interchain Labs memimpin pengembangan untuk Cosmos Hub, ekosistem Cosmos, dan Interchain Stack – rangkaian perangkat lunak untuk membangun blockchain. Interchain Labs berusaha untuk membangun internet yang lebih gratis dan adil dengan platform Cosmos sebagai intinya. Untuk informasi lebih lanjut, kunjungi
Tentang AR
Asymmetric Research (AR) adalah usaha keamanan kecil yang mengkhususkan diri dalam kemitraan jangka panjang dengan blockchain L1/L2 dan protokol DeFi. Pekerjaan intinya mencakup empat domain kunci keamanan web3: penelitian, respons insiden, rekayasa, dan layanan infrastruktur. AR membantu tim membangun sistem yang tangguh, memperkuat posisi keamanan, dan secara proaktif mengatasi ancaman yang muncul.
Tentang SEAL
SEAL adalah koalisi tim keamanan terkemuka dan protokol di web3, yang bekerja sama untuk meningkatkan standar keamanan blockchain melalui kolaborasi, berbagi informasi, dan respons cepat. Dengan menyelaraskan insentif dan menetapkan kerangka kerja bersama, SEAL melindungi ekosistem dari ancaman dan eksploitasi, mendorong masa depan yang lebih aman dan lebih tangguh untuk teknologi terdesentralisasi.
Untuk pertanyaan media, silakan hubungi: interchain@wachsman.com
_________________________________________________________________________
Bitcoin.com tidak menerima tanggung jawab atau kewajiban, dan tidak bertanggung jawab, secara langsung atau tidak langsung, atas kerusakan atau kehilangan yang disebabkan atau diduga disebabkan oleh atau sehubungan dengan penggunaan atau ketergantungan pada konten, barang, atau layanan yang disebutkan dalam artikel.