dInterchain Labs, Asymmetric Research та SEAL Alliance опублікували звіт про спробу соціальної інженерії, пов'язану з DPRK; звіт підтверджує, що це не вплинуло на безпеку стека Cosmos.
Нью-Йорк, Сполучені Штати – Понеділок, 16 червня 2025 р. – Interchain Labs (ICL) у співпраці з Security Alliance (SEAL) та Asymmetric Research (AR) опублікували звіт про безпеку минулих внесків у сховища Cosmos особи, пізніше ідентифікованої як пов'язаної з Корейською Народно-Демократичною Республікою (DPRK). Ця особа працювала в колишніх постачальників технічного обслуговування Core Stack із середини 2022 року по листопад 2024 року, до того, як було створено ICL і припинено сторонню модель обслуговування. Після створення та поглинання ICL у повній мірі всіх основних обов'язків з розробки стека були введені нові протоколи безпеки та найму, які викрили проблему та запобігли подальшим внескам. Звіт підтвердив, що немає жодних безпосередніх або майбутніх ризиків для архітектури Cosmos в результаті цих минулих внесків.
Після ідентифікації актора – ICL та AR вжили проактивних заходів безпеки, щоб забезпечити захист від ризиків постійного доступу, а також усунули непотрібних учасників. Впровадження безпечних політик найму ICL призвело до повторної ідентифікації цього актора як нового кандидата на роботу в ICL з його відмовою.
Звіт сам по собі виявив, що внесок особи та доступ під попередніми утримувачами були обмежені наступними репозиторіями:
космос/IAVL
Космос/космос-SDK
Після того, як стало відомо про особу індивіда, ICL розпочала всебічне розслідування у співпраці з Asymmetric Research (AR), переглядаючи всі внески — незалежно від статусу впровадження. Ці огляди показали, що майже весь код SDK, написаний цим актором, вже був знятий з підтримки або виключений з дорожньої карти під час переходу ICL після реорганізації, особливо внаслідок скасування SDK v2. Під час перегляду вже випущених внесків IAVL та Cosmos SDK жодних ризиків чи вразливостей не було виявлено після всебічних незалежних аудитів.
Починаючи з лютого, ICL виконує серію оновлень безпеки у всіх репозиторіях Cosmos cosco. До них належать відкликання застарілого доступу, повторне надання дозволів усім учасникам, ротація облікових даних, а також захист будь-яких інтеграцій або конфігурацій токенів. Дозволи GitHub систематично посилювалися за допомогою наборів правил, що забезпечують єдиний захист гілок і розширені можливості аудиту по всій організації Cosmos GitHub. Ці заходи були посилені у зв'язку з цим інцидентом.
Щоб сприяти подальшій безпеці та прозорості, ICL запрошує спільноту долучитися до виявлення будь-яких недоліків, пов'язаних із особою. Протягом наступного місяця сторінка HackerOne Cosmos пропонуватиме подвоєні винагороди за будь-яку кваліфіковану вразливість, пов'язану з обліковим записом GitHub "cool-develope."
Баррі Планкетт, співгенеральний директор Interchain Labs, сказав: «*Подібні інциденти демонструють нагальну потребу в більш широко прийнятих і суворих процедурах безпеки не тільки в екосистемі Web3, але і в усьому загальному технологічному ландшафті. Прозорість і безпека є нашим головним пріоритетом в екосистемі Cosmos. З моменту об'єднання розробки Cosmos Stack в рамках ICL в цьому році, ми оновили і ввели в дію суворі стандарти безпеки по всьому стеку. Це дозволило нам запобігти будь-яким подальшим внескам від особи, яка бере участь під нашим керівництвом. Хоча ми не виявили жодних ознак шкідливого коду, внесеного суб'єктом КНДР, ми заохочуємо подальший перегляд спільноти за допомогою нашої програми винагород і повністю відмовимося від кодової бази через наш запланований випуск IAVL v2, який є повним переписуванням.
З консолідацією всіх внесків до Cosmos Stack, які тепер зосереджені під Interchain Labs, Фонд може впроваджувати більш ефективні практики безпеки та забезпечувати охорону людських ресурсів, щоб надати всьому стеку загальний захист від проникнення, усуваючи залежність від сторонніх постачальників з різною терпимістю до ризику. Цей прогрес швидко проявився, коли той же актор намагався повторно подати заявку під новим іменем до ICL на інженерну посаду на початку цього року і був відхилений, коли його позначили як потенційного зловмисника.
Джонатан Клаудіус з Asymmetric Research сказав: “Ця справа нагадує про те, що екосистеми з відкритим кодом потребують проактивної, безперервної безпеки. Cosmos не перша екосистема, в яку вторглися злочинні актори, і не буде останньою. Прозорість не тільки викликає довіру, але й виявляє уроки, які інші можуть застосувати, щоб зміцнити свої власні системи. Ці знання приносять користь ширшій екосистемі та підкреслюють важливість багатошарових, співпраця оборонних стратегій. Посилена увага до проактивної безпеки, разом із ініціативами, такими як Альянс безпеки, допоможе зробити простір web3 сильнішим і більш стійким.”
Баррі Плакетт і Брендон Пейт доступні для коментарів
Про Interchain Labs:
Interchain Labs – це команда розробки та зростання Cosmos, децентралізованої мережі незалежних, масштабованих, стійких та сумісних блокчейнів. Cosmos — одна з найбільших блокчейн-екосистем із понад 250 додатками та послугами та ринковою капіталізацією понад 41 мільярд доларів США. Interchain Labs очолює розробку для Cosmos Hub, екосистеми Cosmos та Interchain Stack – програмного комплексу для побудови блокчейнів. Interchain Labs прагне побудувати більш вільний і справедливий Інтернет з платформою Cosmos в основі. Для отримання додаткової інформації відвідайте
Про AR
Asymmetric Research (AR) – це бутикове підприємство з безпеки, що спеціалізується на довгострокових партнерських відносинах з блокчейнами L1/L2 та протоколами DeFi. Його основна робота охоплює чотири ключові домени безпеки web3: дослідження, реагування на інциденти, інженерія та інфраструктурні послуги. Доповнена реальність допомагає командам створювати стійкі системи, зміцнювати безпеку та активно реагувати на нові загрози.
Про SEAL
SEAL є коаліцією провідних команд з безпеки та протоколів у web3, які працюють разом для підвищення стандартів безпеки блокчейну через співпрацю, обмін інформацією та швидку реакцію. Узгоджуючи стимули та встановлюючи спільні рамки, SEAL захищає екосистему від загроз і експлуатацій, сприяючи більш безпечному та стійкому майбутньому для децентралізованих технологій.
Для медіа запитів, будь ласка, звертайтеся: interchain@wachsman.com
Bitcoin.com не несе жодної відповідальності або зобов'язань і не несе відповідальності, прямо чи опосередковано, за будь-які збитки або втрати, які були заподіяні або вважаються такими, що були заподіяні, внаслідок використання або покладання на будь-який контент, товари або послуги, згадані в статті.
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
dInterchain Labs, Asymmetric Research та SEAL Alliance опублікували звіт про спробу соціальної інженерії, пов'язану з DPRK; звіт підтверджує, що це не вплинуло на безпеку стека Cosmos.
Цей контент надано спонсором.
Нью-Йорк, Сполучені Штати – Понеділок, 16 червня 2025 р. – Interchain Labs (ICL) у співпраці з Security Alliance (SEAL) та Asymmetric Research (AR) опублікували звіт про безпеку минулих внесків у сховища Cosmos особи, пізніше ідентифікованої як пов'язаної з Корейською Народно-Демократичною Республікою (DPRK). Ця особа працювала в колишніх постачальників технічного обслуговування Core Stack із середини 2022 року по листопад 2024 року, до того, як було створено ICL і припинено сторонню модель обслуговування. Після створення та поглинання ICL у повній мірі всіх основних обов'язків з розробки стека були введені нові протоколи безпеки та найму, які викрили проблему та запобігли подальшим внескам. Звіт підтвердив, що немає жодних безпосередніх або майбутніх ризиків для архітектури Cosmos в результаті цих минулих внесків.
Після ідентифікації актора – ICL та AR вжили проактивних заходів безпеки, щоб забезпечити захист від ризиків постійного доступу, а також усунули непотрібних учасників. Впровадження безпечних політик найму ICL призвело до повторної ідентифікації цього актора як нового кандидата на роботу в ICL з його відмовою.
Звіт сам по собі виявив, що внесок особи та доступ під попередніми утримувачами були обмежені наступними репозиторіями:
Після того, як стало відомо про особу індивіда, ICL розпочала всебічне розслідування у співпраці з Asymmetric Research (AR), переглядаючи всі внески — незалежно від статусу впровадження. Ці огляди показали, що майже весь код SDK, написаний цим актором, вже був знятий з підтримки або виключений з дорожньої карти під час переходу ICL після реорганізації, особливо внаслідок скасування SDK v2. Під час перегляду вже випущених внесків IAVL та Cosmos SDK жодних ризиків чи вразливостей не було виявлено після всебічних незалежних аудитів.
Починаючи з лютого, ICL виконує серію оновлень безпеки у всіх репозиторіях Cosmos cosco. До них належать відкликання застарілого доступу, повторне надання дозволів усім учасникам, ротація облікових даних, а також захист будь-яких інтеграцій або конфігурацій токенів. Дозволи GitHub систематично посилювалися за допомогою наборів правил, що забезпечують єдиний захист гілок і розширені можливості аудиту по всій організації Cosmos GitHub. Ці заходи були посилені у зв'язку з цим інцидентом.
Щоб сприяти подальшій безпеці та прозорості, ICL запрошує спільноту долучитися до виявлення будь-яких недоліків, пов'язаних із особою. Протягом наступного місяця сторінка HackerOne Cosmos пропонуватиме подвоєні винагороди за будь-яку кваліфіковану вразливість, пов'язану з обліковим записом GitHub "cool-develope."
Баррі Планкетт, співгенеральний директор Interchain Labs, сказав: «*Подібні інциденти демонструють нагальну потребу в більш широко прийнятих і суворих процедурах безпеки не тільки в екосистемі Web3, але і в усьому загальному технологічному ландшафті. Прозорість і безпека є нашим головним пріоритетом в екосистемі Cosmos. З моменту об'єднання розробки Cosmos Stack в рамках ICL в цьому році, ми оновили і ввели в дію суворі стандарти безпеки по всьому стеку. Це дозволило нам запобігти будь-яким подальшим внескам від особи, яка бере участь під нашим керівництвом. Хоча ми не виявили жодних ознак шкідливого коду, внесеного суб'єктом КНДР, ми заохочуємо подальший перегляд спільноти за допомогою нашої програми винагород і повністю відмовимося від кодової бази через наш запланований випуск IAVL v2, який є повним переписуванням.
З консолідацією всіх внесків до Cosmos Stack, які тепер зосереджені під Interchain Labs, Фонд може впроваджувати більш ефективні практики безпеки та забезпечувати охорону людських ресурсів, щоб надати всьому стеку загальний захист від проникнення, усуваючи залежність від сторонніх постачальників з різною терпимістю до ризику. Цей прогрес швидко проявився, коли той же актор намагався повторно подати заявку під новим іменем до ICL на інженерну посаду на початку цього року і був відхилений, коли його позначили як потенційного зловмисника.
Джонатан Клаудіус з Asymmetric Research сказав: “Ця справа нагадує про те, що екосистеми з відкритим кодом потребують проактивної, безперервної безпеки. Cosmos не перша екосистема, в яку вторглися злочинні актори, і не буде останньою. Прозорість не тільки викликає довіру, але й виявляє уроки, які інші можуть застосувати, щоб зміцнити свої власні системи. Ці знання приносять користь ширшій екосистемі та підкреслюють важливість багатошарових, співпраця оборонних стратегій. Посилена увага до проактивної безпеки, разом із ініціативами, такими як Альянс безпеки, допоможе зробити простір web3 сильнішим і більш стійким.”
Баррі Плакетт і Брендон Пейт доступні для коментарів
Про Interchain Labs:
Interchain Labs – це команда розробки та зростання Cosmos, децентралізованої мережі незалежних, масштабованих, стійких та сумісних блокчейнів. Cosmos — одна з найбільших блокчейн-екосистем із понад 250 додатками та послугами та ринковою капіталізацією понад 41 мільярд доларів США. Interchain Labs очолює розробку для Cosmos Hub, екосистеми Cosmos та Interchain Stack – програмного комплексу для побудови блокчейнів. Interchain Labs прагне побудувати більш вільний і справедливий Інтернет з платформою Cosmos в основі. Для отримання додаткової інформації відвідайте
Про AR
Asymmetric Research (AR) – це бутикове підприємство з безпеки, що спеціалізується на довгострокових партнерських відносинах з блокчейнами L1/L2 та протоколами DeFi. Його основна робота охоплює чотири ключові домени безпеки web3: дослідження, реагування на інциденти, інженерія та інфраструктурні послуги. Доповнена реальність допомагає командам створювати стійкі системи, зміцнювати безпеку та активно реагувати на нові загрози.
Про SEAL
SEAL є коаліцією провідних команд з безпеки та протоколів у web3, які працюють разом для підвищення стандартів безпеки блокчейну через співпрацю, обмін інформацією та швидку реакцію. Узгоджуючи стимули та встановлюючи спільні рамки, SEAL захищає екосистему від загроз і експлуатацій, сприяючи більш безпечному та стійкому майбутньому для децентралізованих технологій.
Для медіа запитів, будь ласка, звертайтеся: interchain@wachsman.com
_________________________________________________________________________
Bitcoin.com не несе жодної відповідальності або зобов'язань і не несе відповідальності, прямо чи опосередковано, за будь-які збитки або втрати, які були заподіяні або вважаються такими, що були заподіяні, внаслідок використання або покладання на будь-який контент, товари або послуги, згадані в статті.