Interchain Labs підтвердила, що між 2022 і 2024 роками один із розробників, залучених до роботи над проєктами екосистеми Cosmos, виявився пов’язаним із Північною Кореєю.
The investigation identified the malicious actor as an engineer employed by former core-stack maintenance vendors between 2022 and 2024, prior to the formation and takeover of ICL as the core Cosmos stack developer.
This incident was contained through structural reforms. After…
— Interchain Foundation (@interchain_io) June 16, 2025
Учасник працював на стороннього підрядника ще до централізації розробки стеку. Після передачі контролю Interchain Labs його доступ був заблокований.
Розробник діяв під псевдонімом cool-develope і мав обмежений доступ до двох репозиторіїв — cosmos/IAVL і cosmos/cosmos-sdk. За висновками спільного аудиту Interchain Labs, Security Alliance та Asymmetric Research, більшість надісланих ним змін не потрапила до релізів — їх відкинули разом зі скасуванням SDK v2. Активних вразливостей не виявлено.
Для посилення прозорості Interchain Labs тимчасово подвоїла винагороди за баги на сторінці Cosmos у HackerOne, зокрема, за виявлення потенційних проблем, пов’язаних із кодом cool-develope.
У компанії наголосили, що інцидент стався ще до централізації розробки стеку під керівництвом Interchain Labs. Після цього було впроваджено нові протоколи перевірки персоналу та доступу, що дозволило виявити зв’язок розробника з КНДР. Згодом він намагався повторно влаштуватися в проєкт, але був відхилений після перевірки.
«Ми оновили всі протоколи безпеки, відкликали старі доступи, перепризначили ролі, змінили ключі й посилили контроль над внесками до репозиторіїв», — заявив співдиректор ICL Баррі Планкетт.
За його словами, загроз безпеці не зафіксовано, але спільноту закликали до подальшої перевірки. Код, до якого мав доступ розробник, буде повністю переписано в новій версії IAVL v2.
CEO Asymmetric Research Джонатан Клаудіус назвав інцидент показовим:
«Екосистеми з відкритим кодом потребують постійної проактивної роботи над безпекою. Cosmos — не перша екосистема, у яку проникли зловмисники, і вона буде останньою»
У жовтні 2024 з’ясувалося, що частину коду для модуля ліквідного стейкінгу (LSM) написали північнокорейські програмісти. Тоді співзасновник Cosmos Дже Квон звинуватив CEO Iqlusion Закі Маніана (розробника LSM) у недбалості — той приховав факт інциденту від спільноти.
Нагадаємо, згідно зі звітом Silent Push, група Contagious Interview, пов’язана з північнокорейською хакерською організацією Lazarus, зареєструвала три підставні компанії для поширення шкідливого ПЗ.
Arabic
Chinese (Simplified)
Dutch
English
French
German
Italian
Kazakh
Polish
Portuguese
Spanish
Ukrainian