ICF і ICL разом з @asymmetric_re, @_SEAL_Org, @regen_network і @binary_builders опублікували спільний звіт про колишнього шкідливого учасника репозиторіїв Cosmos. Звіт підтвердив, що немає жодних негайних або майбутніх ризиків для стека Cosmos.

Розслідування ідентифікувало зловмисника як інженера, який працював у колишніх постачальників послуг з обслуговування основного стека в період з 2022 по 2024 рік, до формування та поглинання ICL як розробника основного стека Cosmos. Цей інцидент вдалося локалізувати за допомогою структурних реформ. Після консолідації розробки Cosmos під управлінням ICL і з запуском масштабних оновлень безпеки з @asymmetric_re, включаючи аудит доступу, централізовані дозволи, повторні аудити коду та загальне зміцнення практик розробки та організаційної безпеки. Це загартовування відразу ж виявилося корисним, оскільки актор був повторно визначений як претендент на роботу і йому було відмовлено. Завдяки повній підтримці AR, Re та Binary, всі пов'язані коміти та двійкові файли були детально розглянуті. Ні шкідливого коду, ні векторів атак не виявлено. Огляди дійшли висновку, що майже весь код SDK, автором якого є цей суб'єкт, вже був визнаний застарілим або виключений з дорожньої карти під час переходу ICL після реорганізації, особливо після скасування SDK v2. У випадку з IAVL після масштабних багатосторонніх незалежних аудитів не було виявлено жодних ризиків або вразливостей. Незважаючи на це, команда ICL буде повністю відмовлятися від кодової бази за допомогою вже запланованого релізу IAVL v2, який є повним переписуванням кодової бази.

З повним текстом звіту можна ознайомитися тут:

Ці загрози є постійними в екосистемі Web3. Ось чому важливо ділитися висновками, які допоможуть покращити базову безпеку. ICL впровадила контрибутор KYC, набори правил GitHub, видалення застарілого доступу та сильніше розділення інфраструктури, серед інших заходів.

Interchain Labs продовжить повторний аудит, повторний перегляд і посилення багаторівневого захисту. Щоб підтримати ширший огляд, @Hacker0x01 винагороди були подвоєні протягом одного місяця за будь-які дійсні проблеми, пов'язані з комітами учасника.

Дякуємо Asymmetric Research, SEAL, Binary та Regen за швидкі відгуки. Швидке локалізації та ліквідація цього інциденту стали ще одним хорошим тестом на користь нещодавно впроваджених політик безпеки, які підтвердили наші інвестиції в проактивну безпеку.