TechFlow 소식, 10월 16일 코스모스 생태계 개발사 All in Bits는 코스모스 허브의 유동성 스테이킹 모듈(LSM)에 심각한 보안 문제의 근본 원인이 있음을 밝혔다. 조사 결과 대부분의 LSM 코드가 북한과 연계된 개발자들에 의해 작성된 것으로 확인됐다.
All in Bits의 보고서에 따르면, LSM의 핵심 문제점은 다음과 같다. 첫째, 슬래싱(slashing)을 회피할 수 있는 설계 결함이 여전히 존재한다. 둘째, LSM은 독립된 모듈이 아니라 기존 스테이킹, 분배 및 슬래싱 모듈에 대한 일련의 수정사항으로 구성되어 있어 모든 스테이킹된 ATOM에 영향을 줄 수 있다. 셋째, 19개월 이상에 걸친 코드 변경 사항들이 감사를 받지 않았다. 넷째, 프로젝트 책임자인 자키 마니안(Zaki Manian)과 Iqlusion사는 중대한 정보 왜곡을 저질렀다. 다섯째, 인터체인 파운데이션(ICF), Stride Labs, 그리고 Informal Systems는 프로젝트 추진 과정에서 투명성을 충분히 확보하지 못했다.
조사에 따르면 LSM 개발은 2021년 8월 자키 마니안과 Iqlusion사 주도하에 시작됐다. 그러나 실제 대부분의 코드는 이후 북한과 연계된 것으로 확인된 개발자 Jun Kai와 Sarawut Sanit에 의해 작성됐다. 2022년 7월 Oak Security의 감사 보고서는 특히 슬래싱 회피와 관련된 중요한 취약점을 지적했지만, 이러한 문제들은 충분히 해결되지 않았다. 또한 자키 마니안은 2023년 3월 해당 개발자들의 북한 연루 사실을 인지한 후에도 코스모스 커뮤니티에 이를 공개하지 않았다. 오히려 2023년 4월 그는 LSM 신호 제안을 계속 추진하며 모듈이 "완료"됐다고 주장했는데, All in Bits는 이 같은 행위를 중대한 허위 진술 및 심각한 과실로 규정했다.
All in Bits는 다음과 같은 긴급 조치를 권고했다. 첫째, LSM의 주요 스테이킹 취약점을 즉시 수정할 것. 둘째, LSM에 대해 전면적이고 즉각적인 보안 감사를 실시할 것. 셋째, 북한 요원의 참여와 관련된 조사 일정을 전면 공개할 것. 넷째, 관련 ICF 관계자를 블랙리스트에 올릴 것. 다섯째, ICF가 지원하는 프로젝트들을 위한 새로운 감사 및 감독 프로토콜을 마련할 것.




