ICFとICLは、@asymmetric_re、@_SEAL_Org、@regen_network、および@binary_buildersとともに、Cosmosリポジトリへの以前の悪意のある貢献者に関する共同レポートを公開しました。 このレポートでは、Cosmosスタックに即時または将来のリスクがないことを確認しました。

この調査では、悪意のある攻撃者は、ICLがCosmosスタックのコア開発者として設立・買収される前の2022年から2024年にかけて、元コアスタックメンテナンスベンダーに雇用されていたエンジニアであると特定されました。 この事件は、構造改革によって抑制されました。Cosmosの開発をICLに統合した後、アクセス監査、一元化された権限、コードの再監査、開発と組織のセキュリティプラクティスの一般的な強化など、@asymmetric_reによる広範なセキュリティアップグレードを開始しました。この硬化はすぐに有効であることが証明され、俳優は求職者として再識別され、拒否されました。 AR、Regen、Binary の全面的なサポートにより、リンクされたすべてのコミットとバイナリが詳細にレビューされました。 悪意のあるコードや攻撃ベクトルは見つかりませんでした。レビューでは、このアクターによって作成されたほぼすべてのSDKコードは、ICLの再編成後の移行中、特にSDK v2のキャンセル後に、すでに非推奨またはロードマップから除外されていたと結論付けました。 IAVLの場合、複数の第三者による広範な独立監査の結果、リスクや脆弱性は見つかりませんでした。事実に関係なく、ICL チームは、コードベースを完全に書き直した IAVL v2 のリリースをすでに計画しているため、コードベースを完全に非推奨にします。

レポート全文はこちらからご覧いただけます。

これらの脅威は、Web3エコシステム全体で常に存在しています。そのため、ベースラインのセキュリティを向上させるために、結果を共有することが重要です。 ICLは、コントリビューターKYC、GitHubのルールセット、レガシーアクセスの削除、インフラストラクチャの分離の強化などの対策を実施しました。

Interchain Labsは、階層化された防御の再監査、再レビュー、および強化を続けます。 より広範なレビューをサポートするため、@Hacker0x01報奨金は、コントリビューターのコミットにリンクされた有効な課題に対して 1 か月間 2 倍になりました。

Asymmetric Research、SEAL、Binary、Regenの迅速な対応に感謝します。 このインシデントの迅速な封じ込めとクリアは、最近再実装されたセキュリティポリシーのもう一つの良いテストであり、プロアクティブなセキュリティへの投資を実証するものでした。