ICF et ICL avec @asymmetric_re, @_SEAL_Org, @regen_network, et @binary_builders ont publié un rapport conjoint sur un ancien contributeur malveillant aux dépôts Cosmos. Le rapport a confirmé qu'il n'y a aucun risque immédiat ou futur pour la pile Cosmos.

L'enquête a identifié l'acteur malveillant comme un ingénieur employé par d'anciens fournisseurs de maintenance de core-stack entre 2022 et 2024, avant la formation et la prise de contrôle d'ICL en tant que développeur principal de la pile Cosmos. Cet incident a été contenu grâce à des réformes structurelles. Après avoir consolidé le développement de Cosmos sous ICL, et avec le lancement d'importantes mises à niveau de sécurité avec @asymmetric_re, y compris des audits d'accès, des permissions centralisées, des ré-audits de code et un durcissement général des pratiques de sécurité de développement et organisationnelles. Ce durcissement s'est immédiatement avéré utile, car l'acteur a été réidentifié en tant que candidat à un emploi et a été rejeté. Avec le soutien total d'AR, Regen et Binary, tous les commits et binaires liés ont été examinés en profondeur. Aucun code malveillant ou vecteur d'attaque n'a été trouvé. Les examens ont conclu que presque tout le code SDK rédigé par cet acteur avait déjà été déprécié ou exclu de la feuille de route lors de la transition post-reorg d'ICL, notamment après l'annulation de SDK v2. Dans le cas d'IAVL, aucun risque ou vulnérabilité n'a été trouvé après des audits indépendants approfondis impliquant plusieurs parties. Quoi qu'il en soit, l'équipe d'ICL va complètement déprécier la base de code grâce à notre sortie déjà prévue de IAVL v2, qui est une réécriture complète de la base de code.

Le rapport complet est disponible ici :

Ces menaces sont constantes dans l'écosystème Web3. C'est pourquoi il est important de partager les résultats pour aider à améliorer la sécurité de base. ICL a mis en œuvre la vérification d'identité des contributeurs (KYC), des règles GitHub, la suppression des accès hérités et une séparation plus stricte des infrastructures, parmi d'autres mesures.

Interchain Labs continuera à réauditer, réexaminer et renforcer les défenses en couches. Pour soutenir un examen plus large, les primes @Hacker0x01 ont été doublées pendant un mois pour tout problème valide lié aux commits du contributeur.

Nous remercions Asymmetric Research, SEAL, Binary et Regen pour leurs réponses rapides. La rapide gestion et résolution de cet incident a été un autre bon test de nos politiques de sécurité récemment réimplémentées, validant notre investissement dans la sécurité proactive.