ICF en ICL hebben samen met @asymmetric_re, @_SEAL_Org, @regen_network en @binary_builders een gezamenlijk rapport gepubliceerd over een voormalige kwaadaardige bijdrager aan de Cosmos-repositories. Het rapport bevestigde dat er geen onmiddellijke of toekomstige risico's zijn voor de Cosmos-stack.

Het onderzoek identificeerde de kwaadaardige actor als een ingenieur die tussen 2022 en 2024 in dienst was bij voormalige core-stack onderhoudsleveranciers, vóór de oprichting en overname van ICL als de kernontwikkelaar van de Cosmos-stack. Dit incident werd ingedamd door structurele hervormingen. Na de consolidatie van de Cosmos-ontwikkeling onder ICL, en met de lancering van uitgebreide beveiligingsupgrades met @asymmetric_re, inclusief toegangsaudits, gecentraliseerde machtigingen, code-heraudits en algemene versterking van de ontwikkelings- en organisatorische beveiligingspraktijken. Deze versterking bleek onmiddellijk nuttig, aangezien de actor opnieuw werd geïdentificeerd als een sollicitant en werd afgewezen. Met volledige steun van AR, Regen en Binary, werden alle gekoppelde commits en binaries grondig herzien. Er werd geen kwaadaardige code of aanvalsvectoren gevonden. De beoordelingen concludeerden dat bijna alle SDK-code die door deze actor was geschreven, al was afgeschreven of uitgesloten van de roadmap tijdens de post-reorg transitie van ICL, vooral na de annulering van SDK v2. In het geval van IAVL werden er na uitgebreide onafhankelijke audits door meerdere partijen geen risico's of kwetsbaarheden gevonden. Ongeacht het feit, zal het ICL-team de codebase volledig afschrijven via onze al geplande release van IAVL v2, wat een volledige herschrijving van de codebase is.

Het volledige rapport is hier beschikbaar:

Deze bedreigingen zijn constant in het Web3-ecosysteem. Daarom is het belangrijk om bevindingen te delen om de basisbeveiliging te verbeteren. ICL heeft KYC voor bijdragers geïmplementeerd, GitHub-regels ingesteld, legacy-toegang verwijderd en sterkere infrastructuurscheiding doorgevoerd, naast andere maatregelen.

Interchain Labs zal doorgaan met het opnieuw auditen, herzien en versterken van gelaagde verdedigingen. Om een bredere beoordeling te ondersteunen, zijn de beloningen van @Hacker0x01 voor een maand verdubbeld voor eventuele geldige problemen die verband houden met de bijdragen van de bijdrager.

We bedanken Asymmetric Research, SEAL, Binary en Regen voor hun snelle reacties. De snelle beheersing en afhandeling van dit incident was opnieuw een goede test van onze recent opnieuw geïmplementeerde beveiligingsbeleid, waarmee onze investering in proactieve beveiliging werd gevalideerd.