TechFlow, 16 octobre — All in Bits, contributeur de l'écosystème Cosmos, a révélé le 16 octobre les causes profondes d'un grave problème de sécurité affectant le module de mise en gage liquide (LSM) du Cosmos Hub. L'enquête a établi que la majeure partie du code LSM avait été rédigée par des développeurs liés à la Corée du Nord.
Le rapport d'All in Bits identifie les problèmes principaux du LSM : 1) une faille de conception permettant d'éviter la confiscation (slashing) persiste ; 2) le LSM n'est pas un module autonome, mais une série de modifications apportées aux modules existants de mise en gage, de distribution et de confiscation, ce qui pourrait impacter tous les ATOM misés ; 3) plus de 19 mois de modifications de code n'ont fait l'objet d'aucun audit ; 4) le chef de projet Zaki Manian et l'entreprise Iqlusion ont fourni des informations trompeuses ; 5) l'Interchain Foundation (ICF), Stride Labs et Informal Systems ont manqué de transparence tout au long du développement du projet.
L’enquête montre que le développement du LSM a commencé en août 2021 sous l’impulsion de Zaki Manian et d’Iqlusion. Toutefois, la majorité du code a été effectivement rédigée par Jun Kai et Sarawut Sanit, deux développeurs dont les liens avec la Corée du Nord ont été confirmés ultérieurement. Bien qu’un audit réalisé en juillet 2022 par Oak Security ait mis en lumière des vulnérabilités critiques, notamment celles liées à l’évasion de la confiscation, ces failles n’ont pas été correctement corrigées. En outre, après avoir appris en mars 2023 les liens entre les développeurs et la Corée du Nord, Zaki Manian n’a pas divulgué cette information cruciale à la communauté Cosmos. Au contraire, il a continué en avril 2023 à promouvoir la proposition de signalisation du LSM, affirmant que le module était « terminé », une action qualifiée par All in Bits de déclaration mensongère et de négligence grave.
All in Bits recommande les mesures d’urgence suivantes : 1) corriger immédiatement les principales vulnérabilités du module de mise en gage ; 2) procéder à un audit de sécurité complet et immédiat du LSM ; 3) publier intégralement la chronologie de l’enquête concernant la participation d’agents nord-coréens ; 4) inscrire sur liste noire les entités concernées de l’ICF ; 5) établir un nouveau protocole d’audit et de supervision pour les projets financés par l’ICF.




