dInterchain Labs, Asymmetric Research, và SEAL Alliance Công Bố Báo Cáo Về Nỗ Lực Kỹ Thuật Xã Hội Liên Quan Đến DPRK Được Kiểm Soát; Báo Cáo Xác Nhận Không Ảnh Hưởng Đến Bảo Mật Cosmos Stack
Thành phố New York, Hoa Kỳ – Thứ Hai, ngày 16 tháng 6 năm 2025 – Interchain Labs (ICL), phối hợp với (SEAL) Liên minh Bảo mật và Nghiên cứu Asymmetric (AR), đã xuất bản một báo cáo bảo mật về những đóng góp trong quá khứ cho các kho lưu trữ Cosmos của một cá nhân sau này được xác định là có liên quan đến (DPRK) Cộng hòa Dân chủ Nhân dân Triều Tiên. Cá nhân này đã được các nhà cung cấp bảo trì Core Stack cũ tuyển dụng từ giữa năm 2022 đến tháng 11 năm 2024, trước khi ICL được thành lập và mô hình bảo trì của bên thứ ba đã ngừng hoạt động. Sau khi ICL thành lập và tiếp quản với đầy đủ các trách nhiệm phát triển ngăn xếp cốt lõi, các giao thức an ninh và tuyển dụng mới đã được giới thiệu làm nổi bật vấn đề và ngăn chặn các đóng góp thêm. Báo cáo xác nhận rằng không có rủi ro trước mắt hoặc tương lai đối với kiến trúc Cosmos do những đóng góp trong quá khứ này.
Khi diễn viên được xác định – ICL và AR đã thực hiện các biện pháp an ninh chủ động để đảm bảo rằng các rủi ro về việc truy cập liên tục được bảo vệ, cùng với việc loại bỏ những người đóng góp không cần thiết. Việc thực hiện các chính sách tuyển dụng an toàn của ICL đã dẫn đến việc xác định lại diễn viên này như một ứng viên xin việc mới tại ICL và bị từ chối.
Báo cáo tự thân đã phát hiện rằng các đóng góp và quyền truy cập của cá nhân dưới các người bảo trì trước đây đã bị giới hạn ở các kho sau:
cosmos/IAVL
cosmos/cosmos-sdk
Sau khi nhận thức được danh tính của cá nhân, ICL đã tiến hành một cuộc điều tra toàn diện với sự hợp tác của Nghiên cứu Bất đối xứng (AR), xem xét tất cả các đóng góp — bất kể tình trạng triển khai. Những đánh giá này kết luận rằng gần như tất cả mã SDK do tác nhân này tạo ra đã bị loại bỏ hoặc loại trừ khỏi lộ trình trong quá trình chuyển đổi sau tái tổ chức của ICL, đặc biệt là do kết quả của việc hủy bỏ SDK v2. Khi xem xét các đóng góp của IAVL và Cosmos SDK đã được phát hành, không có rủi ro hoặc lỗ hổng nào được tìm thấy sau khi kiểm tra độc lập nhiều bên rộng rãi.
Kể từ tháng Hai, ICL đã thực hiện một loạt các nâng cấp bảo mật trên tất cả các kho lưu trữ cốt lõi của Cosmos. Những nâng cấp này bao gồm việc thu hồi quyền truy cập cũ, cấp quyền lại cho tất cả các cộng tác viên, xoay vòng thông tin xác thực, và bảo mật bất kỳ tích hợp hoặc cấu hình token nào. Quyền truy cập GitHub đã được củng cố một cách hệ thống thông qua các bộ quy tắc thực thi bảo vệ nhánh đồng nhất và khả năng kiểm tra mở rộng trên toàn bộ tổ chức GitHub của Cosmos. Những biện pháp này đã được củng cố sau sự cố này.
Để thúc đẩy sự an toàn và minh bạch liên tục, ICL mời cộng đồng tham gia phát hiện bất kỳ vấn đề nào bị bỏ qua liên quan đến cá nhân. Trong tháng tới, trang HackerOne của Cosmos sẽ cung cấp phần thưởng tiền thưởng gấp đôi cho bất kỳ lỗ hổng đủ điều kiện nào liên quan đến tài khoản GitHub "cool-develope."
Barry Plunkett, Đồng Giám đốc điều hành của Interchain Labs, cho biết: "* Các sự cố như thế này cho thấy nhu cầu cấp thiết về các quy trình bảo mật nghiêm ngặt và được áp dụng rộng rãi hơn, không chỉ trong hệ sinh thái Web3 mà còn trên toàn cảnh công nghệ rộng lớn hơn. Tính minh bạch và bảo mật là ưu tiên hàng đầu của chúng tôi trong hệ sinh thái Cosmos. Kể từ khi thống nhất sự phát triển của Cosmos Stack theo ICL trong năm nay, chúng tôi đã cập nhật và thực thi các tiêu chuẩn bảo mật nghiêm ngặt trên toàn bộ ngăn xếp. Điều này cho phép chúng tôi ngăn chặn bất kỳ đóng góp nào khác từ cá nhân liên quan dưới sự lãnh đạo của chúng tôi. Mặc dù chúng tôi không tìm thấy dấu hiệu nào về mã độc do tác nhân Triều Tiên đóng góp, nhưng chúng tôi đang khuyến khích cộng đồng xem xét thêm thông qua chương trình tiền thưởng của chúng tôi và sẽ hoàn toàn ngừng sử dụng cơ sở mã thông qua việc phát hành IAVL v2 theo kế hoạch của chúng tôi, đây là một bản viết lại hoàn toàn.*"
Với sự hợp nhất của tất cả các đóng góp cho Cosmos Stack hiện đang tập trung dưới Interchain Labs, Quỹ có thể thực hiện các biện pháp bảo mật hiệu quả hơn và thực thi các quy định về nhân sự để cung cấp cho toàn bộ stack một hệ thống bảo vệ toàn diện chống lại sự xâm nhập, loại bỏ sự phụ thuộc vào các nhà cung cấp bên thứ ba với mức độ rủi ro khác nhau. Tiến bộ này đã nhanh chóng được thể hiện, khi cùng một tác nhân cố gắng nộp hồ sơ lại dưới một biệt danh mới cho ICL cho một vị trí kỹ thuật vào đầu năm nay và đã bị từ chối khi bị đánh dấu là một tác nhân có khả năng gây hại.
Jonathan Claudius, từ Asymmetric Research, cho biết: "Trường hợp này đóng vai trò như một lời nhắc nhở rằng các hệ sinh thái mã nguồn mở đòi hỏi bảo mật chủ động, liên tục. Cosmos không phải là hệ sinh thái đầu tiên bị xâm nhập bởi các tác nhân độc hại và sẽ không phải là hệ sinh thái cuối cùng. Sự minh bạch không chỉ xây dựng lòng tin mà còn đưa ra những bài học mà những người khác có thể áp dụng để củng cố hệ thống của chính họ. Những bài học này mang lại lợi ích cho hệ sinh thái rộng lớn hơn và củng cố tầm quan trọng của các chiến lược phòng thủ hợp tác, nhiều lớp. Tập trung mạnh mẽ vào bảo mật chủ động, cùng với các sáng kiến như Liên minh bảo mật, sẽ giúp làm cho không gian web3 mạnh mẽ hơn và linh hoạt hơn." *
Barry Plunkett và Brandon Pate có sẵn để bình luận
Về Interchain Labs:
Interchain Labs là đội ngũ phát triển và tăng trưởng cho Cosmos, một mạng lưới phi tập trung gồm các blockchain độc lập, có khả năng mở rộng, bền vững và tương tác với nhau. Cosmos là một trong những hệ sinh thái blockchain lớn nhất, với hơn 250 ứng dụng và dịch vụ và tổng giá trị thị trường trên 41 tỷ USD. Interchain Labs dẫn dắt phát triển cho Cosmos Hub, hệ sinh thái Cosmos và Interchain Stack – một bộ phần mềm để xây dựng blockchain. Interchain Labs đang nỗ lực xây dựng một internet tự do và công bằng hơn với nền tảng Cosmos làm trung tâm. Để biết thêm thông tin, hãy truy cập
Về AR
Nghiên cứu không đối xứng (AR) là một doanh nghiệp bảo mật boutique chuyên về các quan hệ đối tác lâu dài với các blockchain L1/L2 và các giao thức DeFi. Công việc cốt lõi của nó trải rộng trên bốn lĩnh vực chính của bảo mật web3: nghiên cứu, phản ứng sự cố, kỹ thuật và dịch vụ hạ tầng. AR giúp các nhóm xây dựng hệ thống bền vững, củng cố tư thế bảo mật và chủ động giải quyết các mối đe dọa mới nổi.
Về SEAL
SEAL là một liên minh của các đội ngũ bảo mật và giao thức hàng đầu trong web3, làm việc cùng nhau để nâng cao tiêu chuẩn bảo mật blockchain thông qua hợp tác, chia sẻ thông tin và phản ứng nhanh chóng. Bằng cách đồng bộ hóa các động lực và thiết lập các khung chia sẻ, SEAL bảo vệ hệ sinh thái khỏi các mối đe dọa và khai thác, tạo ra một tương lai an toàn hơn, kiên cường hơn cho các công nghệ phi tập trung.
Đối với các truy vấn truyền thông, xin vui lòng liên hệ: interchain@wachsman.com
Bitcoin.com không chấp nhận trách nhiệm hoặc nghĩa vụ, và không chịu trách nhiệm, trực tiếp hay gián tiếp, cho bất kỳ thiệt hại hoặc tổn thất nào gây ra hoặc được cho là gây ra bởi hoặc liên quan đến việc sử dụng hoặc dựa vào bất kỳ nội dung, hàng hóa hoặc dịch vụ nào được đề cập trong bài viết.
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
dInterchain Labs, Asymmetric Research, và SEAL Alliance Công Bố Báo Cáo Về Nỗ Lực Kỹ Thuật Xã Hội Liên Quan Đến DPRK Được Kiểm Soát; Báo Cáo Xác Nhận Không Ảnh Hưởng Đến Bảo Mật Cosmos Stack
Nội dung này được cung cấp bởi một nhà tài trợ.
Thành phố New York, Hoa Kỳ – Thứ Hai, ngày 16 tháng 6 năm 2025 – Interchain Labs (ICL), phối hợp với (SEAL) Liên minh Bảo mật và Nghiên cứu Asymmetric (AR), đã xuất bản một báo cáo bảo mật về những đóng góp trong quá khứ cho các kho lưu trữ Cosmos của một cá nhân sau này được xác định là có liên quan đến (DPRK) Cộng hòa Dân chủ Nhân dân Triều Tiên. Cá nhân này đã được các nhà cung cấp bảo trì Core Stack cũ tuyển dụng từ giữa năm 2022 đến tháng 11 năm 2024, trước khi ICL được thành lập và mô hình bảo trì của bên thứ ba đã ngừng hoạt động. Sau khi ICL thành lập và tiếp quản với đầy đủ các trách nhiệm phát triển ngăn xếp cốt lõi, các giao thức an ninh và tuyển dụng mới đã được giới thiệu làm nổi bật vấn đề và ngăn chặn các đóng góp thêm. Báo cáo xác nhận rằng không có rủi ro trước mắt hoặc tương lai đối với kiến trúc Cosmos do những đóng góp trong quá khứ này.
Khi diễn viên được xác định – ICL và AR đã thực hiện các biện pháp an ninh chủ động để đảm bảo rằng các rủi ro về việc truy cập liên tục được bảo vệ, cùng với việc loại bỏ những người đóng góp không cần thiết. Việc thực hiện các chính sách tuyển dụng an toàn của ICL đã dẫn đến việc xác định lại diễn viên này như một ứng viên xin việc mới tại ICL và bị từ chối.
Báo cáo tự thân đã phát hiện rằng các đóng góp và quyền truy cập của cá nhân dưới các người bảo trì trước đây đã bị giới hạn ở các kho sau:
Sau khi nhận thức được danh tính của cá nhân, ICL đã tiến hành một cuộc điều tra toàn diện với sự hợp tác của Nghiên cứu Bất đối xứng (AR), xem xét tất cả các đóng góp — bất kể tình trạng triển khai. Những đánh giá này kết luận rằng gần như tất cả mã SDK do tác nhân này tạo ra đã bị loại bỏ hoặc loại trừ khỏi lộ trình trong quá trình chuyển đổi sau tái tổ chức của ICL, đặc biệt là do kết quả của việc hủy bỏ SDK v2. Khi xem xét các đóng góp của IAVL và Cosmos SDK đã được phát hành, không có rủi ro hoặc lỗ hổng nào được tìm thấy sau khi kiểm tra độc lập nhiều bên rộng rãi.
Kể từ tháng Hai, ICL đã thực hiện một loạt các nâng cấp bảo mật trên tất cả các kho lưu trữ cốt lõi của Cosmos. Những nâng cấp này bao gồm việc thu hồi quyền truy cập cũ, cấp quyền lại cho tất cả các cộng tác viên, xoay vòng thông tin xác thực, và bảo mật bất kỳ tích hợp hoặc cấu hình token nào. Quyền truy cập GitHub đã được củng cố một cách hệ thống thông qua các bộ quy tắc thực thi bảo vệ nhánh đồng nhất và khả năng kiểm tra mở rộng trên toàn bộ tổ chức GitHub của Cosmos. Những biện pháp này đã được củng cố sau sự cố này.
Để thúc đẩy sự an toàn và minh bạch liên tục, ICL mời cộng đồng tham gia phát hiện bất kỳ vấn đề nào bị bỏ qua liên quan đến cá nhân. Trong tháng tới, trang HackerOne của Cosmos sẽ cung cấp phần thưởng tiền thưởng gấp đôi cho bất kỳ lỗ hổng đủ điều kiện nào liên quan đến tài khoản GitHub "cool-develope."
Barry Plunkett, Đồng Giám đốc điều hành của Interchain Labs, cho biết: "* Các sự cố như thế này cho thấy nhu cầu cấp thiết về các quy trình bảo mật nghiêm ngặt và được áp dụng rộng rãi hơn, không chỉ trong hệ sinh thái Web3 mà còn trên toàn cảnh công nghệ rộng lớn hơn. Tính minh bạch và bảo mật là ưu tiên hàng đầu của chúng tôi trong hệ sinh thái Cosmos. Kể từ khi thống nhất sự phát triển của Cosmos Stack theo ICL trong năm nay, chúng tôi đã cập nhật và thực thi các tiêu chuẩn bảo mật nghiêm ngặt trên toàn bộ ngăn xếp. Điều này cho phép chúng tôi ngăn chặn bất kỳ đóng góp nào khác từ cá nhân liên quan dưới sự lãnh đạo của chúng tôi. Mặc dù chúng tôi không tìm thấy dấu hiệu nào về mã độc do tác nhân Triều Tiên đóng góp, nhưng chúng tôi đang khuyến khích cộng đồng xem xét thêm thông qua chương trình tiền thưởng của chúng tôi và sẽ hoàn toàn ngừng sử dụng cơ sở mã thông qua việc phát hành IAVL v2 theo kế hoạch của chúng tôi, đây là một bản viết lại hoàn toàn.*"
Với sự hợp nhất của tất cả các đóng góp cho Cosmos Stack hiện đang tập trung dưới Interchain Labs, Quỹ có thể thực hiện các biện pháp bảo mật hiệu quả hơn và thực thi các quy định về nhân sự để cung cấp cho toàn bộ stack một hệ thống bảo vệ toàn diện chống lại sự xâm nhập, loại bỏ sự phụ thuộc vào các nhà cung cấp bên thứ ba với mức độ rủi ro khác nhau. Tiến bộ này đã nhanh chóng được thể hiện, khi cùng một tác nhân cố gắng nộp hồ sơ lại dưới một biệt danh mới cho ICL cho một vị trí kỹ thuật vào đầu năm nay và đã bị từ chối khi bị đánh dấu là một tác nhân có khả năng gây hại.
Jonathan Claudius, từ Asymmetric Research, cho biết: "Trường hợp này đóng vai trò như một lời nhắc nhở rằng các hệ sinh thái mã nguồn mở đòi hỏi bảo mật chủ động, liên tục. Cosmos không phải là hệ sinh thái đầu tiên bị xâm nhập bởi các tác nhân độc hại và sẽ không phải là hệ sinh thái cuối cùng. Sự minh bạch không chỉ xây dựng lòng tin mà còn đưa ra những bài học mà những người khác có thể áp dụng để củng cố hệ thống của chính họ. Những bài học này mang lại lợi ích cho hệ sinh thái rộng lớn hơn và củng cố tầm quan trọng của các chiến lược phòng thủ hợp tác, nhiều lớp. Tập trung mạnh mẽ vào bảo mật chủ động, cùng với các sáng kiến như Liên minh bảo mật, sẽ giúp làm cho không gian web3 mạnh mẽ hơn và linh hoạt hơn." *
Barry Plunkett và Brandon Pate có sẵn để bình luận
Về Interchain Labs:
Interchain Labs là đội ngũ phát triển và tăng trưởng cho Cosmos, một mạng lưới phi tập trung gồm các blockchain độc lập, có khả năng mở rộng, bền vững và tương tác với nhau. Cosmos là một trong những hệ sinh thái blockchain lớn nhất, với hơn 250 ứng dụng và dịch vụ và tổng giá trị thị trường trên 41 tỷ USD. Interchain Labs dẫn dắt phát triển cho Cosmos Hub, hệ sinh thái Cosmos và Interchain Stack – một bộ phần mềm để xây dựng blockchain. Interchain Labs đang nỗ lực xây dựng một internet tự do và công bằng hơn với nền tảng Cosmos làm trung tâm. Để biết thêm thông tin, hãy truy cập
Về AR
Nghiên cứu không đối xứng (AR) là một doanh nghiệp bảo mật boutique chuyên về các quan hệ đối tác lâu dài với các blockchain L1/L2 và các giao thức DeFi. Công việc cốt lõi của nó trải rộng trên bốn lĩnh vực chính của bảo mật web3: nghiên cứu, phản ứng sự cố, kỹ thuật và dịch vụ hạ tầng. AR giúp các nhóm xây dựng hệ thống bền vững, củng cố tư thế bảo mật và chủ động giải quyết các mối đe dọa mới nổi.
Về SEAL
SEAL là một liên minh của các đội ngũ bảo mật và giao thức hàng đầu trong web3, làm việc cùng nhau để nâng cao tiêu chuẩn bảo mật blockchain thông qua hợp tác, chia sẻ thông tin và phản ứng nhanh chóng. Bằng cách đồng bộ hóa các động lực và thiết lập các khung chia sẻ, SEAL bảo vệ hệ sinh thái khỏi các mối đe dọa và khai thác, tạo ra một tương lai an toàn hơn, kiên cường hơn cho các công nghệ phi tập trung.
Đối với các truy vấn truyền thông, xin vui lòng liên hệ: interchain@wachsman.com
_________________________________________________________________________
Bitcoin.com không chấp nhận trách nhiệm hoặc nghĩa vụ, và không chịu trách nhiệm, trực tiếp hay gián tiếp, cho bất kỳ thiệt hại hoặc tổn thất nào gây ra hoặc được cho là gây ra bởi hoặc liên quan đến việc sử dụng hoặc dựa vào bất kỳ nội dung, hàng hóa hoặc dịch vụ nào được đề cập trong bài viết.