TechFlowの報道によると、10月16日、Cosmosエコシステムの開発者All in Bitsは、Cosmos Hubの流動性ステーキングモジュール(LSM)に深刻なセキュリティ問題が存在する根本原因を明らかにした。調査の結果、大部分のLSMコードが北朝鮮と関係のある開発者によって作成されたことが判明した。
All in Bitsの報告書によれば、LSMの主な問題点は以下の通りである。1)スラッシング回避を可能にする設計上の欠陥が依然として存在している。2)LSMは独立したモジュールではなく、既存のステーキング、分配およびスラッシングモジュールに対する一連の変更であり、すべてのステークされたATOMに影響を与える可能性がある。3)19か月以上にわたるコードの変更が監査を受けていない。4)プロジェクト責任者であるZaki ManianおよびIqlusion社が重大な情報誤導を行っていた。5)Interchain Foundation(ICF)、Stride Labs、およびInformal Systemsがプロジェクト推進過程において透明性を欠いていた。
調査により、LSMの開発は2021年8月にZaki ManianおよびIqlusionの主導で開始されたが、実際の大部分のコードは後に北朝鮮と関係があると確認された開発者Jun KaiおよびSarawut Sanitによって執筆されていたことが明らかになった。2022年7月のOak Securityによる監査報告書は、特にスラッシング回避に関連する重要な脆弱性を指摘していたが、これらの脆弱性は十分に解決されていなかった。さらに、Zaki Manianは2023年3月に開発者と北朝鮮との関係を把握しながら、Cosmosコミュニティにこの重要な情報を開示しなかった。むしろ2023年4月にはLSMのシグナリングプロポーザルを推進し、モジュールが「完成」したと主張したが、All in Bitsはこれを重大な虚偽表示および重大な過失と断じている。
All in Bitsは以下の緊急措置を提言している。1)LSMの主要なステーキング脆弱性を直ちに修正すること。2)LSMに対して包括的かつ即時のセキュリティ監査を実施すること。3)北朝鮮工作員の関与に関する調査のタイムラインを完全に開示すること。4)関連するICF関係者をブラックリストに載せること。5)ICFが資金提供するプロジェクトに対して新たな監査および監督プロトコルを策定すること。




