ICF i ICL wraz z @asymmetric_re, @_SEAL_Org, @regen_network i @binary_builders opublikowali wspólny raport na temat byłego złośliwego współpracownika w repozytoriach Cosmos. Raport potwierdził, że nie ma żadnych natychmiastowych ani przyszłych zagrożeń dla stosu Cosmos.

Śledztwo zidentyfikowało złośliwego aktora jako inżyniera zatrudnionego przez byłych dostawców utrzymania core-stack w latach 2022-2024, przed utworzeniem i przejęciem ICL jako głównego dewelopera stosu Cosmos. Incydent został opanowany dzięki reformom strukturalnym. Po skonsolidowaniu rozwoju Cosmos pod ICL oraz uruchomieniu rozbudowanych aktualizacji zabezpieczeń z @asymmetric_re, w tym audytów dostępu, scentralizowanych uprawnień, ponownych audytów kodu oraz ogólnego wzmocnienia praktyk bezpieczeństwa w rozwoju i organizacji. To wzmocnienie natychmiast okazało się przydatne, ponieważ aktor został ponownie zidentyfikowany jako kandydat do pracy i odrzucony. Z pełnym wsparciem od AR, Regen i Binary, wszystkie powiązane commity i binaria zostały dokładnie przejrzane. Nie znaleziono złośliwego kodu ani wektorów ataku. Przeglądy wykazały, że prawie cały kod SDK stworzony przez tego aktora został już wycofany lub wykluczony z planu działania podczas przejścia ICL po reorganizacji, szczególnie po anulowaniu SDK v2. W przypadku IAVL nie znaleziono ryzyk ani luk po rozległych niezależnych audytach wielostronnych. Niezależnie od tego, zespół ICL całkowicie wycofa kod bazowy w ramach już zaplanowanego wydania IAVL v2, które jest pełnym przepisaniem kodu.

Pełny raport jest dostępny tutaj:

Te zagrożenia są stałe w ekosystemie Web3. Dlatego ważne jest, aby dzielić się ustaleniami, aby pomóc w poprawie podstawowego bezpieczeństwa. ICL wdrożył KYC dla współpracowników, zestawy reguł GitHub, usunięcie dostępu do starych zasobów oraz silniejsze oddzielenie infrastruktury, wśród innych działań.

Interchain Labs będzie kontynuować ponowną audytację, przeglądanie i wzmacnianie warstwowych zabezpieczeń. Aby wspierać szerszy przegląd, nagrody @Hacker0x01 zostały podwojone na jeden miesiąc za wszelkie ważne problemy związane z zobowiązaniami współtwórcy.

Dziękujemy Asymmetric Research, SEAL, Binary i Regen za ich szybkie odpowiedzi. Szybkie opanowanie i rozwiązanie tego incydentu było kolejnym dobrym testem naszych niedawno wdrożonych polityk bezpieczeństwa, potwierdzającym naszą inwestycję w proaktywne bezpieczeństwo.