ICF e ICL con @asymmetric_re, @_SEAL_Org, @regen_network e @binary_builders hanno pubblicato un rapporto congiunto su un ex contributore malevolo ai repository di Cosmos. Il rapporto ha confermato che non ci sono rischi immediati o futuri per lo stack di Cosmos.

L'indagine ha identificato l'attore malevolo come un ingegnere impiegato da ex fornitori di manutenzione del core-stack tra il 2022 e il 2024, prima della formazione e dell'acquisizione di ICL come sviluppatore principale del core Cosmos stack. Questo incidente è stato contenuto attraverso riforme strutturali. Dopo aver consolidato lo sviluppo di Cosmos sotto ICL, e con il lancio di ampi aggiornamenti di sicurezza con @asymmetric_re, inclusi audit di accesso, permessi centralizzati, ri-audit del codice e indurimento generale delle pratiche di sicurezza nello sviluppo e nell'organizzazione. Questo indurimento si è rivelato immediatamente utile, poiché l'attore è stato nuovamente identificato come candidato per un lavoro e rifiutato. Con il pieno supporto di AR, Regen e Binary, tutti i commit e i binari collegati sono stati esaminati in profondità. Non è stato trovato alcun codice malevolo o vettori di attacco. Le revisioni hanno concluso che quasi tutto il codice SDK redatto da questo attore era già stato deprecato o escluso dalla roadmap durante la transizione post-ristrutturazione di ICL, specialmente dopo la cancellazione di SDK v2. Nel caso di IAVL, non sono stati trovati rischi o vulnerabilità dopo ampi audit indipendenti multi-party. Indipendentemente da questo, il team di ICL deprecirà completamente il codice attraverso il rilascio già pianificato di IAVL v2, che è una riscrittura completa del codice.

Il rapporto completo è disponibile qui:

Queste minacce sono costanti in tutto l'ecosistema Web3. Ecco perché è importante condividere le scoperte per aiutare a migliorare la sicurezza di base. ICL ha implementato il KYC per i collaboratori, set di regole GitHub, rimozione dell'accesso legacy e una separazione più forte delle infrastrutture, tra le altre misure.

Interchain Labs continuerà a riesaminare, rivedere e rafforzare le difese a strati. Per supportare una revisione più ampia, le ricompense di @Hacker0x01 sono state raddoppiate per un mese per eventuali problemi validi legati ai commit del collaboratore.

Ringraziamo Asymmetric Research, SEAL, Binary e Regen per le loro risposte rapide. Il rapido contenimento e la risoluzione di questo incidente sono stati un ulteriore buon test delle nostre politiche di sicurezza recentemente reimplementate, convalidando il nostro investimento nella sicurezza proattiva.