This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
dInterchain Labs、Asymmetric Research、および SEAL Alliance が、拘束された DPRK 関連のソーシャルエンジニアリング試みについての報告書を発表; 報告書は Cosmos Stack のセキュリティへの影響がないことを確認
この内容はスポンサーによって提供されています。
米国ニューヨーク市 – 2025年6月16日(月) – Interchain Labs (ICL)は、Security Alliance (SEAL) and Asymmetric Research (AR)と協力して、後に朝鮮民主主義人民共和国(DPRK)に関連すると特定された個人によるCosmosリポジトリへの過去の貢献に関するセキュリティレポートを公開しました。この個人は、ICLが設立され、サードパーティのメンテナンスモデルが廃止される前の2022年半ばから2024年11月まで、以前のCore Stackメンテナンスベンダーに雇用されていました。ICLが設立され、すべてのコアスタック開発の責任を完全に引き受けた後、新しいセキュリティおよび採用プロトコルが導入され、問題が表面化し、さらなる貢献が防止されました。このレポートでは、これらの過去の貢献の結果として、Cosmosアーキテクチャに即時または将来のリスクがないことを確認しました。
俳優が特定された後、ICLとARは、持続的なアクセスのリスクを防ぐために積極的なセキュリティ対策を講じ、不必要な貢献者を排除しました。ICLの安全な採用ポリシーの実施により、この俳優はICLへの新たな求職者として再特定され、彼は拒否されました。
報告書自体は、個人の貢献と以前のメンテナによるアクセスが以下のリポジトリに限定されていたことを発見しました:
*コスモス/ IAVL
個人の身元が明らかになった後、ICLはAsymmetric Research (AR)と協力して包括的な調査を開始し、配備状況に関係なく、すべての貢献をレビューしました。これらのレビューでは、このアクターが作成したほぼすべての SDK コードは、特に SDK v2 のキャンセルの結果として、ICL の再編成後の移行中にすでに非推奨またはロードマップから除外されていたと結論付けました。すでにリリースされたIAVLとCosmos SDKのコントリビューションのレビューでは、複数の第三者による広範な独立監査の結果、リスクや脆弱性は見つかりませんでした。
2月以来、ICLはすべてのCosmosコアリポジトリで一連のセキュリティアップグレードを実行しています。これには、レガシーアクセスの取り消し、すべての貢献者への再許可、資格情報のローテーション、及び統合やトークン設定の保護が含まれます。GitHubの権限は、Cosmos GitHub組織全体にわたる均一なブランチ保護と拡張された監査機能を強制するルールセットを通じて体系的に強化されました。これらの措置は、この事件を受けて強化されています。
継続的なセキュリティと透明性を促進するために、ICLはコミュニティに対して、個人に関連する見落とされた問題を指摘するよう呼びかけています。来月の間、CosmosのHackerOneページでは、「cool-develope」というGitHubアカウントに関連する適格な脆弱性に対して、報酬を2倍にしたバウンティが提供されます。
Interchain Labsの共同CEOであるBarry Plunkett氏は、「*このようなインシデントは、Web3エコシステム内だけでなく、より広範な技術環境全体で、より広く採用された厳格なセキュリティ手順が緊急に必要であることを示しています。透明性とセキュリティは、Cosmosエコシステムにおける最優先事項です。今年、Cosmos Stackの開発をICLの下に統合して以来、スタック全体で厳格なセキュリティ基準を更新し、適用してきました。これにより、私たちのリーダーシップの下で関与した個人からのさらなる貢献を防ぐことができました。北朝鮮の攻撃者によって提供された悪意のあるコードの兆候は見つかりませんでしたが、報奨金プログラムを通じてコミュニティのレビューをさらに奨励しており、完全に書き直されたIAVL v2のリリースを通じてコードベースを完全に非推奨にする予定です。
すべての貢献が現在インターチェーンラボの下に集中しているコスモススタックの統合により、財団はより効率的なセキュリティプラクティスを実施し、人材ガードレールを強化してスタック全体に対する侵入に対する包括的な防御を提供することができます。これにより、リスク許容度の異なる第三者プロバイダーへの依存が排除されます。この進展はすぐに明らかになりました。今年初めに同じアクターが新しいエイリアスでICLに工学的な役割を再申請しようとした際、潜在的な悪意のあるアクターとしてフラグが立てられ拒否されました。
Asymmetric ResearchのJonathan Claudius氏は、「このケースは、オープンソースのエコシステムにはプロアクティブで継続的なセキュリティが必要であることを思い出させるものです。Cosmosは、悪意のあるアクターによって侵入された最初のエコシステムではなく、最後でもありません。透明性は信頼を築くだけでなく、他の人が自分のシステムを強化するために適用できる教訓を明らかにします。これらの学習は、より広範なエコシステムに利益をもたらし、階層化された協調的な防御戦略の重要性を強化します。Security Allianceなどのイニシアチブとともに、プロアクティブなセキュリティに重点を置くことで、web3空間をより強く、より回復力のあるものにすることができるでしょう。*
バリー・プランケットとブランドン・ペイトはコメントを提供可能です
インターチェーンラボについて:
Interchain Labsは、独立した、スケーラブルで持続可能かつ相互運用可能なブロックチェーンの分散型ネットワークであるCosmosの開発および成長チームです。Cosmosは250以上のアプリとサービスを持ち、410億米ドル以上の市場キャップを持つ最大のブロックチェーンエコシステムの一つです。Interchain Labsは、Cosmos Hub、Cosmosエコシステム、およびブロックチェーンを構築するためのソフトウェアスイートであるInterchain Stackの開発を主導しています。Interchain Labsは、Cosmosプラットフォームを中心に、より自由で公正なインターネットの構築を目指しています。詳細については、訪問してください。
ARについて
アシンメトリックリサーチ (AR)は、L1/L2ブロックチェーンおよびDeFiプロトコルとの長期的なパートナーシップを専門とするブティックセキュリティベンチャーです。そのコア業務は、web3セキュリティの4つの主要なドメインにわたります:リサーチ、インシデントレスポンス、エンジニアリング、インフラサービス。ARは、チームがレジリエントなシステムを構築し、セキュリティの姿勢を強化し、新たに発生する脅威に積極的に対処するのを支援します。
SEALについて
SEALは、web3における主要なセキュリティチームとプロトコルの連合であり、協力、情報共有、迅速な対応を通じてブロックチェーンセキュリティの標準を引き上げるために活動しています。インセンティブを整合させ、共有フレームワークを確立することで、SEALはエコシステムを脅威や悪用から保護し、分散型技術のためのより安全で、より回復力のある未来を育んでいます。
メディアに関するお問い合わせは、以下までお願いいたします: interchain@wachsman.com
_________________________________________________________________________
Bitcoin.comは責任を負わず、直接的または間接的に、記事に記載されたコンテンツ、商品、またはサービスの使用またはそれに依存することから生じた、または生じたとされる損害または損失について責任を負いません。