ICF dan ICL dengan @asymmetric_re, @_SEAL_Org, @regen_network, dan @binary_builders menerbitkan laporan bersama tentang mantan kontributor jahat untuk repositori Cosmos. Laporan tersebut menegaskan bahwa tidak ada risiko langsung atau masa depan terhadap tumpukan Cosmos.

Investigasi mengidentifikasi aktor jahat sebagai insinyur yang dipekerjakan oleh mantan vendor pemeliharaan core-stack antara 2022 dan 2024, sebelum pembentukan dan pengambilalihan ICL sebagai pengembang tumpukan inti Cosmos. Kejadian ini dikendalikan melalui reformasi struktural. Setelah mengkonsolidasikan pengembangan Cosmos di bawah ICL, dan dengan peluncuran peningkatan keamanan ekstensif dengan @asymmetric_re, termasuk audit akses, izin terpusat, audit ulang kode, dan pengerasan umum praktik pengembangan dan keamanan organisasi. Pengerasan ini segera terbukti berguna, karena aktor tersebut diidentifikasi kembali sebagai pelamar kerja dan ditolak. Dengan dukungan penuh dari AR, Regen, dan Binary, semua commit dan biner yang ditautkan ditinjau secara mendalam. Tidak ada kode berbahaya atau vektor serangan yang ditemukan. Tinjauan menyimpulkan bahwa hampir semua kode SDK yang ditulis oleh aktor ini telah tidak digunakan lagi atau dikeluarkan dari peta jalan selama transisi pasca-reorganisasi ICL, terutama setelah pembatalan SDK v2. Dalam kasus IAVL, tidak ada risiko atau kerentanan yang ditemukan setelah audit independen multi-pihak yang ekstensif. Terlepas dari faktanya, tim ICL akan sepenuhnya menghentikan basis kode melalui rilis IAVL v2 yang sudah kami rencanakan, yang merupakan penulisan ulang penuh dari basis kode.

Laporan lengkapnya tersedia di sini:

Ancaman ini konstan di seluruh ekosistem Web3. Itulah mengapa penting untuk berbagi temuan untuk membantu meningkatkan keamanan dasar. ICL menerapkan KYC kontributor, serangkaian aturan GitHub, penghapusan akses lama, dan pemisahan infrastruktur yang lebih kuat, di antara langkah-langkah lainnya.

Interchain Labs akan terus mengaudit ulang, meninjau ulang, dan memperkuat pertahanan berlapis. Untuk mendukung tinjauan yang lebih luas, @Hacker0x01 hadiah telah digandakan selama satu bulan untuk setiap masalah valid yang terkait dengan komitmen kontributor.

Kami berterima kasih kepada Asymmetric Research, SEAL, Binary, dan Regen atas respons cepat mereka. Penahanan dan pembersihan insiden ini dengan cepat adalah ujian bagus lainnya dari kebijakan keamanan kami yang baru-baru ini diterapkan kembali, memvalidasi investasi kami dalam keamanan proaktif.