ICF e ICL com @asymmetric_re, @_SEAL_Org, @regen_network, e @binary_builders publicaram um relatório conjunto sobre um ex-contribuidor malicioso para os repositórios Cosmos. O relatório confirmou que não há riscos imediatos ou futuros para a pilha Cosmos.

A investigação identificou o ator malicioso como um engenheiro empregado por antigos fornecedores de manutenção do core-stack entre 2022 e 2024, antes da formação e da aquisição da ICL como o desenvolvedor principal do stack Cosmos. Este incidente foi contido através de reformas estruturais. Após a consolidação do desenvolvimento do Cosmos sob a ICL, e com o lançamento de extensas atualizações de segurança com @asymmetric_re, incluindo auditorias de acesso, permissões centralizadas, reauditorias de código e um endurecimento geral das práticas de segurança de desenvolvimento e organizacional. Este endurecimento provou ser imediatamente útil, pois o ator foi reidentificado como um candidato a emprego e rejeitado. Com total apoio da AR, Regen e Binary, todos os commits e binários vinculados foram revisados em profundidade. Nenhum código malicioso ou vetores de ataque foram encontrados. As revisões concluíram que quase todo o código SDK escrito por este ator já havia sido descontinuado ou excluído do roteiro durante a transição pós-reorganização da ICL, especialmente após o cancelamento do SDK v2. No caso do IAVL, nenhum risco ou vulnerabilidade foi encontrado após extensas auditorias independentes de múltiplas partes. Independentemente do fato, a equipe da ICL irá descontinuar completamente a base de código através do nosso lançamento já planejado do IAVL v2, que é uma reescrita completa da base de código.

O relatório completo está disponível aqui:

Essas ameaças são constantes em todo o ecossistema Web3. É por isso que é importante compartilhar descobertas para ajudar a melhorar a segurança básica. A ICL implementou KYC para colaboradores, conjuntos de regras do GitHub, remoção de acessos legados e uma separação mais forte da infraestrutura, entre outras medidas.

A Interchain Labs continuará a reauditar, rever e reforçar as defesas em camadas. Para apoiar uma revisão mais ampla, as recompensas de @Hacker0x01 foram duplicadas por um mês para quaisquer problemas válidos relacionados aos commits do contribuinte.

Agradecemos à Asymmetric Research, SEAL, Binary e Regen pelas suas rápidas respostas. A rápida contenção e resolução deste incidente foi mais um bom teste das nossas políticas de segurança recentemente reimplementadas, validando o nosso investimento em segurança proativa.