ICF и ICL с @asymmetric_re, @_SEAL_Org, @regen_network и @binary_builders опубликовали совместный отчет о бывшем злонамеренном участнике репозиториев Cosmos. В отчете подтверждается, что нет немедленных или будущих рисков для стека Cosmos.

Расследование выявило злонамеренного актера как инженера, работавшего на бывших поставщиков обслуживания core-stack с 2022 по 2024 год, до формирования и захвата ICL в качестве основного разработчика стека Cosmos. Этот инцидент был локализован благодаря структурным реформам. После консолидации разработки Cosmos под управлением ICL и запуска обширных обновлений безопасности с @asymmetric_re, включая аудиты доступа, централизованные разрешения, повторные аудиты кода и общую усиление практик безопасности разработки и организации. Это усиление сразу же оказалось полезным, так как актер был повторно идентифицирован как кандидат на работу и отклонен. С полной поддержкой AR, Regen и Binary все связанные коммиты и бинарные файлы были тщательно проверены. Зловредный код или векторы атак не были найдены. Проверки показали, что почти весь код SDK, написанный этим актером, уже был устаревшим или исключен из дорожной карты во время перехода ICL после реорганизации, особенно после отмены SDK v2. В случае с IAVL рисков или уязвимостей не было найдено после обширных независимых аудитов с участием нескольких сторон. Несмотря на это, команда ICL полностью устарит кодовую базу через уже запланированный выпуск IAVL v2, который является полной переработкой кодовой базы.

Полный отчет доступен здесь:

Эти угрозы постоянны в экосистеме Web3. Вот почему важно делиться находками, чтобы помочь улучшить базовую безопасность. ICL внедрила KYC для участников, правила GitHub, удаление устаревшего доступа и более жесткое разделение инфраструктуры, среди прочих мер.

Interchain Labs продолжит повторный аудит, пересмотр и укрепление многослойной защиты. Чтобы поддержать более широкий обзор, вознаграждения @Hacker0x01 были удвоены на один месяц за любые действительные проблемы, связанные с коммитами участника.

Мы благодарим Asymmetric Research, SEAL, Binary и Regen за их быстрые ответы. Быстрое локализование и устранение этого инцидента стало еще одной хорошей проверкой наших недавно вновь внедренных политик безопасности, подтверждая нашу инвестицию в проактивную безопасность.