dInterchain Labs, Asymmetric Research и SEAL Alliance опубликовали отчет о содержательном социальном инженерном вмешательстве, связанном с КНДР; отчет подтверждает, что это не оказало влияния на безопасность Cosmos Stack.
** Нью-Йорк, США — понедельник, 16 июня 2025 г. — ** Interchain Labs (ICL) в сотрудничестве с Security Alliance (SEAL) и Asymmetric Research (AR) опубликовала отчет о безопасности о прошлых вкладах в репозитории Cosmos от лица, позже идентифицированного как связанное с (DPRK) Корейской Народно-Демократической Республики. Этот человек работал у бывших поставщиков услуг по обслуживанию Core Stack с середины 2022 года по ноябрь 2024 года, до создания ICL и прекращения использования сторонней модели обслуживания. После того, как компания ICL была сформирована и взяла на себя все обязанности по развитию основного стека, были введены новые протоколы безопасности и найма, которые выявили проблему и предотвратили дальнейшие вклады. В отчете подтверждается, что нет никаких непосредственных или будущих рисков для архитектуры Cosmos в результате этих прошлых вкладов.
Как только актер был идентифицирован, ICL и AR предприняли проактивные меры безопасности, чтобы защититься от рисков постоянного доступа, вместе с удалением ненужных участников. Внедрение безопасной политики найма ICL привело к повторной идентификации этого актера как нового кандидата на работу в ICL, его отказ.
Согласно отчету, индивидуальные вклад и доступ под предыдущими кураторами были ограничены следующими репозиториями:
космос/IAVL
cosmos/cosmos-sdk
После того как была установлена личность данного лица, ICL провела всестороннее расследование в сотрудничестве с Asymmetric Research (AR), проверив все вклады, независимо от статуса развертывания. Эти проверки показали, что почти весь код SDK, написанный этим актором, уже был устаревшим или исключен из дорожной карты во время перехода ICL после реорганизации, особенно в результате отмены SDK v2. При проверке уже выпущенных вкладов IAVL и Cosmos SDK рисков или уязвимостей не было найдено после обширных независимых многопартийных аудитов.
С февраля ICL осуществляет серию обновлений безопасности во всех основных репозиториях Cosmos. К ним относятся аннулирование устаревшего доступа, повторное предоставление прав всем участникам, ротация учетных данных и обеспечение безопасности всех интеграций или конфигураций токенов. Права доступа на GitHub были систематически усилены с помощью наборов правил, обеспечивающих единообразную защиту веток и расширенные возможности аудита по всей организации Cosmos на GitHub. Эти меры были усилены после данного инцидента.
Чтобы способствовать постоянной безопасности и прозрачности, ICL приглашает сообщество принять участие в выявлении любых упущенных вопросов, связанных с индивидуумом. В течение следующего месяца страница HackerOne Cosmos будет предлагать удвоенные вознаграждения за любые квалифицируемые уязвимости, связанные с аккаунтом GitHub "cool-develope."
Барри Планкетт, со-генеральный директор Interchain Labs, сказал: «*Подобные инциденты демонстрируют острую необходимость более широко распространенных и строгих процедур безопасности не только в экосистеме Web3, но и во всем более широком технологическом ландшафте. Прозрачность и безопасность являются нашим главным приоритетом в экосистеме Cosmos. С тех пор как в этом году мы объединили разработку Cosmos Stack в рамках ICL, мы обновили и внедрили строгие стандарты безопасности по всему стеку. Это позволило нам предотвратить любой дальнейший вклад со стороны лица, вовлеченного в работу под нашим руководством. Несмотря на то, что мы не обнаружили никаких признаков вредоносного кода, внесенного субъектом из КНДР, мы стимулируем дальнейшую проверку сообществом с помощью нашей программы вознаграждения и полностью прекратим поддержку кодовой базы в рамках запланированного выпуска IAVL v2, который будет полностью переработан».
С учетом того, что все вклады в Cosmos Stack теперь сосредоточены под управлением Interchain Labs, Фонд может внедрить более эффективные практики безопасности и установить охранные рамки для человеческих ресурсов, чтобы предоставить всему стеку защиту от внедрения, исключив зависимость от сторонних поставщиков с различной толерантностью к риску. Этот прогресс быстро проявился, когда тот же самый актер попытался повторно подать заявление под новым псевдонимом в ICL на инженерную должность в начале этого года и был отклонен, когда его отметили как потенциального злонамеренного актера.
Джонатан Клаудиус из Asymmetric Research сказал: “Этот случай служит напоминанием о том, что экосистемы с открытым исходным кодом требуют проактивной, непрерывной безопасности. Cosmos не первая экосистема, которую проникли злонамеренные лица, и не последняя. Прозрачность не только создает доверие, но и выявляет уроки, которые другие могут применить для укрепления своих собственных систем. Эти знания приносят пользу более широкой экосистеме и подчеркивают важность многоуровневых, совместных стратегий защиты. Углубленное внимание к проактивной безопасности, наряду с инициативами, такими как Альянс Безопасности, поможет сделать пространство web3 более сильным и устойчивым.”
Барри Плакетт и Брандон Пейт доступны для комментариев
О Интерчейн Лабс:
Interchain Labs является командой по разработке и росту для Cosmos, децентрализованной сети независимых, масштабируемых, устойчивых и совместимых блокчейнов. Cosmos является одной из крупнейших блокчейн-экосистем, с более чем 250 приложениями и услугами и рыночной капитализацией более 41 миллиарда долларов США. Interchain Labs ведет разработку для Cosmos Hub, экосистемы Cosmos и Interchain Stack – программного пакета для создания блокчейнов. Interchain Labs стремится создать более свободный и справедливый интернет с платформой Cosmos в центре. Для получения дополнительной информации посетите
О AR
Асимметричное Исследование (AR) - это бутик-безопасности, специализирующийся на долгосрочных партнерствах с L1/L2 блокчейнами и протоколами DeFi. Его основная работа охватывает четыре ключевых направления безопасности web3: исследования, реагирование на инциденты, инженерия и инфраструктурные услуги. AR помогает командам создавать устойчивые системы, укреплять безопасность и проактивно решать возникающие угрозы.
О компании SEAL
SEAL — это коалиция ведущих команд безопасности и протоколов в web3, работающая вместе для повышения стандартов безопасности блокчейна через сотрудничество, обмен информацией и оперативное реагирование. Объединяя интересы и устанавливая общие рамки, SEAL защищает экосистему от угроз и эксплуатации, способствуя более безопасному и устойчивому будущему для децентрализованных технологий.
По вопросам СМИ, пожалуйста, свяжитесь с: interchain@wachsman.com
Bitcoin.com не несет ответственности за любые повреждения или убытки, причиненные или предполагаемые в связи с использованием или опорой на любой контент, товары или услуги, упомянутые в статье.
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
dInterchain Labs, Asymmetric Research и SEAL Alliance опубликовали отчет о содержательном социальном инженерном вмешательстве, связанном с КНДР; отчет подтверждает, что это не оказало влияния на безопасность Cosmos Stack.
Этот контент предоставлен спонсором.
** Нью-Йорк, США — понедельник, 16 июня 2025 г. — ** Interchain Labs (ICL) в сотрудничестве с Security Alliance (SEAL) и Asymmetric Research (AR) опубликовала отчет о безопасности о прошлых вкладах в репозитории Cosmos от лица, позже идентифицированного как связанное с (DPRK) Корейской Народно-Демократической Республики. Этот человек работал у бывших поставщиков услуг по обслуживанию Core Stack с середины 2022 года по ноябрь 2024 года, до создания ICL и прекращения использования сторонней модели обслуживания. После того, как компания ICL была сформирована и взяла на себя все обязанности по развитию основного стека, были введены новые протоколы безопасности и найма, которые выявили проблему и предотвратили дальнейшие вклады. В отчете подтверждается, что нет никаких непосредственных или будущих рисков для архитектуры Cosmos в результате этих прошлых вкладов.
Как только актер был идентифицирован, ICL и AR предприняли проактивные меры безопасности, чтобы защититься от рисков постоянного доступа, вместе с удалением ненужных участников. Внедрение безопасной политики найма ICL привело к повторной идентификации этого актера как нового кандидата на работу в ICL, его отказ.
Согласно отчету, индивидуальные вклад и доступ под предыдущими кураторами были ограничены следующими репозиториями:
После того как была установлена личность данного лица, ICL провела всестороннее расследование в сотрудничестве с Asymmetric Research (AR), проверив все вклады, независимо от статуса развертывания. Эти проверки показали, что почти весь код SDK, написанный этим актором, уже был устаревшим или исключен из дорожной карты во время перехода ICL после реорганизации, особенно в результате отмены SDK v2. При проверке уже выпущенных вкладов IAVL и Cosmos SDK рисков или уязвимостей не было найдено после обширных независимых многопартийных аудитов.
С февраля ICL осуществляет серию обновлений безопасности во всех основных репозиториях Cosmos. К ним относятся аннулирование устаревшего доступа, повторное предоставление прав всем участникам, ротация учетных данных и обеспечение безопасности всех интеграций или конфигураций токенов. Права доступа на GitHub были систематически усилены с помощью наборов правил, обеспечивающих единообразную защиту веток и расширенные возможности аудита по всей организации Cosmos на GitHub. Эти меры были усилены после данного инцидента.
Чтобы способствовать постоянной безопасности и прозрачности, ICL приглашает сообщество принять участие в выявлении любых упущенных вопросов, связанных с индивидуумом. В течение следующего месяца страница HackerOne Cosmos будет предлагать удвоенные вознаграждения за любые квалифицируемые уязвимости, связанные с аккаунтом GitHub "cool-develope."
Барри Планкетт, со-генеральный директор Interchain Labs, сказал: «*Подобные инциденты демонстрируют острую необходимость более широко распространенных и строгих процедур безопасности не только в экосистеме Web3, но и во всем более широком технологическом ландшафте. Прозрачность и безопасность являются нашим главным приоритетом в экосистеме Cosmos. С тех пор как в этом году мы объединили разработку Cosmos Stack в рамках ICL, мы обновили и внедрили строгие стандарты безопасности по всему стеку. Это позволило нам предотвратить любой дальнейший вклад со стороны лица, вовлеченного в работу под нашим руководством. Несмотря на то, что мы не обнаружили никаких признаков вредоносного кода, внесенного субъектом из КНДР, мы стимулируем дальнейшую проверку сообществом с помощью нашей программы вознаграждения и полностью прекратим поддержку кодовой базы в рамках запланированного выпуска IAVL v2, который будет полностью переработан».
С учетом того, что все вклады в Cosmos Stack теперь сосредоточены под управлением Interchain Labs, Фонд может внедрить более эффективные практики безопасности и установить охранные рамки для человеческих ресурсов, чтобы предоставить всему стеку защиту от внедрения, исключив зависимость от сторонних поставщиков с различной толерантностью к риску. Этот прогресс быстро проявился, когда тот же самый актер попытался повторно подать заявление под новым псевдонимом в ICL на инженерную должность в начале этого года и был отклонен, когда его отметили как потенциального злонамеренного актера.
Джонатан Клаудиус из Asymmetric Research сказал: “Этот случай служит напоминанием о том, что экосистемы с открытым исходным кодом требуют проактивной, непрерывной безопасности. Cosmos не первая экосистема, которую проникли злонамеренные лица, и не последняя. Прозрачность не только создает доверие, но и выявляет уроки, которые другие могут применить для укрепления своих собственных систем. Эти знания приносят пользу более широкой экосистеме и подчеркивают важность многоуровневых, совместных стратегий защиты. Углубленное внимание к проактивной безопасности, наряду с инициативами, такими как Альянс Безопасности, поможет сделать пространство web3 более сильным и устойчивым.”
Барри Плакетт и Брандон Пейт доступны для комментариев
О Интерчейн Лабс:
Interchain Labs является командой по разработке и росту для Cosmos, децентрализованной сети независимых, масштабируемых, устойчивых и совместимых блокчейнов. Cosmos является одной из крупнейших блокчейн-экосистем, с более чем 250 приложениями и услугами и рыночной капитализацией более 41 миллиарда долларов США. Interchain Labs ведет разработку для Cosmos Hub, экосистемы Cosmos и Interchain Stack – программного пакета для создания блокчейнов. Interchain Labs стремится создать более свободный и справедливый интернет с платформой Cosmos в центре. Для получения дополнительной информации посетите
О AR
Асимметричное Исследование (AR) - это бутик-безопасности, специализирующийся на долгосрочных партнерствах с L1/L2 блокчейнами и протоколами DeFi. Его основная работа охватывает четыре ключевых направления безопасности web3: исследования, реагирование на инциденты, инженерия и инфраструктурные услуги. AR помогает командам создавать устойчивые системы, укреплять безопасность и проактивно решать возникающие угрозы.
О компании SEAL
SEAL — это коалиция ведущих команд безопасности и протоколов в web3, работающая вместе для повышения стандартов безопасности блокчейна через сотрудничество, обмен информацией и оперативное реагирование. Объединяя интересы и устанавливая общие рамки, SEAL защищает экосистему от угроз и эксплуатации, способствуя более безопасному и устойчивому будущему для децентрализованных технологий.
По вопросам СМИ, пожалуйста, свяжитесь с: interchain@wachsman.com
_________________________________________________________________________
Bitcoin.com не несет ответственности за любые повреждения или убытки, причиненные или предполагаемые в связи с использованием или опорой на любой контент, товары или услуги, упомянутые в статье.