ICLは、北朝鮮に関連する個人がCosmosコードベースに貢献していたことを確認しました。そのコードは削除され、リスクは残っていません。

Gate News bot のメッセージ、Interchain Labs（ICL）は確認しましたが、後に北朝鮮と関連があると確認された個人が2022年から2024年の間に前のメンテナンススタッフに雇われ、Cosmosコードベースに貢献していたことがわかりました。

この Cosmos コア開発者は、セキュリティアライアンス (Security Alliance) と Asymmetric Research と協力してセキュリティレポートを発表し、この個人が2つのコードベース：cosmos/IAVL と cosmos/cosmos-sdk へのアクセス権が限られていることを確認しました。レビューにより、SDK v2 の廃止後に彼が貢献したコードの大部分が廃止されるか、ロードマップから削除されていることが判明し、独立監査では残存するリスクや脆弱性は発見されませんでした。

しかし、透明性を高めるために、ICLは来月、Cosmos HackerOneページで二重報酬を提供し、参加者のGitHubアカウント「cool-develope」に関連するすべての適格な脆弱性を発見した人に報酬を支払います。

具体的には、その個人は2022年の中頃から2024年の11月まで、ICLの設立とCosmosの第三者メンテナンスモードが終了する前に、前のコアスタックメンテナンス供給業者で働いていました。ICLは声明の中で、すべてのコアスタックの開発を引き継いだ後、チームは新しいセキュリティと採用プロトコルを実施し、この問題を発見し、さらなる貢献を阻止したと述べました。同じ人物はその後再び職に応募しましたが、マークされて拒否されました。

ICLは、2月以降、すべてのコアCosmosリポジトリに対して全面的なセキュリティアップグレードを実施したことを示しています。これには、古いアクセス権の取り消し、すべての貢献者の再許可、証明書のローテーション、および監査コントロールの強化が含まれます。

ソース: The Block