ICF và ICL cùng với @asymmetric_re, @_SEAL_Org, @regen_network, và @binary_builders đã công bố một báo cáo chung về một người đóng góp độc hại trước đây cho các kho lưu trữ Cosmos. Báo cáo xác nhận rằng không có rủi ro ngay lập tức hoặc trong tương lai đối với hệ sinh thái Cosmos.

Cuộc điều tra đã xác định kẻ xấu là một kỹ sư làm việc cho các nhà cung cấp bảo trì core-stack trước đây từ năm 2022 đến 2024, trước khi ICL được thành lập và tiếp quản vai trò nhà phát triển core Cosmos stack. Sự cố này đã được kiểm soát thông qua các cải cách cấu trúc. Sau khi hợp nhất phát triển Cosmos dưới ICL, và với việc ra mắt các nâng cấp bảo mật toàn diện với @asymmetric_re, bao gồm kiểm tra quyền truy cập, phân quyền tập trung, kiểm tra lại mã nguồn, và tăng cường các thực tiễn bảo mật phát triển và tổ chức. Việc tăng cường này ngay lập tức chứng tỏ hữu ích, khi kẻ xấu đã được xác định lại là một ứng viên xin việc và bị từ chối. Với sự hỗ trợ đầy đủ từ AR, Regen, và Binary, tất cả các cam kết và nhị phân liên kết đã được xem xét kỹ lưỡng. Không có mã độc hại hoặc vector tấn công nào được tìm thấy. Các đánh giá kết luận rằng gần như tất cả mã SDK do kẻ xấu này viết đã bị loại bỏ hoặc không được đưa vào lộ trình trong quá trình chuyển đổi sau tái tổ chức của ICL, đặc biệt là sau khi hủy bỏ SDK v2. Trong trường hợp của IAVL, không có rủi ro hoặc lỗ hổng nào được tìm thấy sau các cuộc kiểm toán độc lập nhiều bên toàn diện. Bất chấp thực tế đó, đội ngũ ICL sẽ hoàn toàn loại bỏ mã nguồn thông qua việc phát hành IAVL v2 đã được lên kế hoạch trước, đây là một bản viết lại hoàn toàn của mã nguồn.

Báo cáo đầy đủ có sẵn tại đây:

Những mối đe dọa này là liên tục trong hệ sinh thái Web3. Đó là lý do tại sao việc chia sẻ các phát hiện là quan trọng để giúp cải thiện an ninh cơ bản. ICL đã thực hiện KYC cho người đóng góp, bộ quy tắc GitHub, loại bỏ quyền truy cập cũ và tách biệt hạ tầng mạnh mẽ hơn, cùng với nhiều biện pháp khác.

Interchain Labs sẽ tiếp tục kiểm tra lại, xem xét lại và củng cố các lớp phòng thủ. Để hỗ trợ một cuộc xem xét rộng hơn, phần thưởng @Hacker0x01 đã được gấp đôi trong một tháng cho bất kỳ vấn đề hợp lệ nào liên quan đến các cam kết của người đóng góp.

Chúng tôi cảm ơn Asymmetric Research, SEAL, Binary và Regen vì những phản hồi nhanh chóng của họ. Việc kiểm soát và xử lý nhanh chóng sự cố này là một bài kiểm tra tốt khác cho các chính sách bảo mật mà chúng tôi đã triển khai lại gần đây, xác nhận sự đầu tư của chúng tôi vào bảo mật chủ động.