コスモスハブのLSMに北朝鮮工作員が関与
コスモスハブ(Cosmos Hub)のリキッドステーキングモジュール(LSM)に重大なセキュリティリスクを発見したと、コスモス(Cosmos)エコシステムの開発会社オールインビッツ(All in Bits)が公式Xアカウントにて10月16日に報告した。
その報告によるとコスモスハブのLSMの開発は、2021年8月にザキ・マニアン(Zaki Manian)氏によって設立されたコスモスバリデーターのホスティング会社イクルージョン(Iqlusion)によって開始された。しかし、後に北朝鮮と関係があることが判明したジュン・カイ(Jun Kai)氏とサラウット・サニット(Sarawut Sanit)がLSMのコードの大部分を提供していたという。
また2022年7月には、オークセキュリティ(Oak Security)の監査によりLSMに重大な脆弱性が発見されていたとのこと。この際に、元のコードの大部分を提供した同じ北朝鮮の開発者が、監査で明らかになった問題に対処する任務を負っていたという。
その後2023年3月にFBIが、LSMの開発に北朝鮮の開発者が関与していたことをマニアン氏に通告したとのこと。しかしマニアン氏はこの事実をコスモスコミュニティに開示しなかっただけでなく、脆弱性を放置し未監査のまま19か月間にわたりLSMのコードを変更していたという。マニアン氏はLSMのコスモスハブへの統合アナウンスをする前に、さらなる監査や北朝鮮の開発者が貢献したコードの徹底的なレビューを実施しなかったと報告書で指摘されている。
そして2024年10月2日にマニアン氏は、2023年3月時点で北朝鮮とのつながりを知りつつも、2023年4月にLSMシグナリング提案を推進する前に、この情報をコスモスコミュニティに開示しなかったことを認めたとのことだ。
なお現在もLSM内にスラッシングの回避を可能にする脆弱性が残っているとのこと。なおスラッシングとは、PoS(Proof of Stake)において不正を行ったバリデーターから、ステーキングされた資金を罰金として没収する機能のことだ。
LSMは独立したモジュールではなく、既存のステーキングや配布、スラッシング・モジュールに対して一連の修正を行うため、セキュリティリスクはシステム全体に影響する。そのため今回の問題は、ATOM保有者にとってリスクが高い状態にあることを意味している。
またオールインビッツは、コスモスのインフラストラクチャの開発・運営を支援するインターチェーン財団(ICF:Interchain Foundation)の他、ストライドラボ(Stride Labs)、インフォーマルシステムズ(Informal Systems)らがLSMの宣伝を行っていたことも指摘しており、ICFの透明性が低いことに対する提言も行った。
オールインビッツはこれらの問題への対応として、LSMの重大な脆弱性を直ちに修正し、即時の包括的なLSM監査を行うことや、北朝鮮工作員の関与の全容の開示、発見のスケジュールを明らかにすること、関係者のICFブラックリストを開示し、ICFが資金を提供するプロジェクトのための新たな監査・監督プロトコル作成を提案している。
URGENT ALERT: AiB has uncovered cause for serious security concerns with Cosmos Hub’s Liquid Staking Module (LSM).
— All in Bits (@Allinbits_inc) October 15, 2024
Timeline:
* Aug 2021: LSM development begins, led by Iqlusion & Zaki Manian
* Jul 2022: Oak Security audit reveals critical vulnerabilities; North Korean devs…
参考:報告書
画像:iStocks/Panorama-Images