深潮 TechFlow 消息,10 月 16 日,Cosmos 生態構建者 All in Bits 披露了 Cosmos Hub 流動性質押模塊(LSM)存在嚴重安全問題的根源。調查發現,大部分 LSM 代碼由與朝鮮有關聯的開發者編寫。
據 All in Bits 報告,LSM 的核心問題包括:1)允許規避罰沒的設計缺陷仍然存在;2)LSM 並非獨立模塊,而是對現有質押、分配和罰沒模塊的一系列修改,可能影響所有質押的 ATOM;3)超過 19 個月的代碼更改未經審計;4)項目負責人 Zaki Manian 和 Iqlusion 公司存在重大信息誤導;5)Interchain Foundation(ICF)、Stride Labs 以及 Informal Systems 在項目推進過程中缺乏透明度。
調查顯示,LSM 的開發始於 2021 年 8 月,由 Zaki Manian 和 Iqlusion 主導。然而,大部分代碼實際由後來被確認與朝鮮有關聯的開發者 Jun Kai 和 Sarawut Sanit 編寫。儘管 2022 年 7 月的 Oak Security 審計報告指出了關鍵漏洞,特別是與罰沒規避相關的問題,但這些漏洞並未得到充分解決。此外,Zaki Manian 在 2023 年 3 月得知開發者與朝鮮的關聯後,未向 Cosmos 社區披露這一重要信息。相反,他在 2023 年 4 月繼續推動 LSM 的信號提案,聲稱模塊已“完成”,這一行為被 All in Bits 認定為重大失實陳述和嚴重疏忽。
All in Bits 建議採取以下緊急措施:1)立即修復 LSM 的主要質押漏洞;2)對 LSM 進行全面、即時的安全審計;3)全面披露朝鮮特工參與的調查時間表;4)將相關 ICF 方列入黑名單;5)針對 ICF 資助項目制定新的審計和監督協議。




