- Liquid Staking Modülü (LSM), kesme kaçınma kusurları da dahil olmak üzere kritik güvenlik riskleriyle karşı karşıya.
- Kuzey Kore bağlantılı geliştiriciler, LSM geliştirilmesine dahil oldu ve bütünlük endişelerini artırdı.
- Uyarılara rağmen, LSM, temel güvenlik açıkları ele alınmadan Cosmos Hub'a entegre edildi.
Bir güvenlik incelemesi, Cosmos Hub'a entegre edilen Liquid Staking Modülü (LSM) içinde ciddi sorunlar buldu. Iqlusion tarafından geliştirilen ve Zaki Manian tarafından yönetilen LSM, sistemin bütünlüğünü ve kullanıcı güvenliğini tehlikeye atabilecek kritik güvenlik açıkları içeriyor.
LSM geliştirilmesi, Ağustos 2021'de Iqlusion tarafından başlatıldı ve daha sonra Stride Labs ve Informal Systems dahil olmak üzere birkaç diğer kuruluş tarafından desteklendi. Temmuz 2022'de Oak Security, LSM kod tabanını denetledi ve özellikle kesme kaçınma ile ilgili ciddi güvenlik açıkları buldu.
Bu bulgulara rağmen, kodun önemli bir kısmını yazan Kuzey Koreli geliştiriciler, güvenlik açıklarını düzeltmekle görevlendirildi ve bu durum, iyileştirme sürecinin bütünlüğü konusunda endişeler yarattı.
Mart 2023'te FBI, Zaki Manian'ı geliştiricilerin Kuzey Kore ile bağlantıları hakkında bilgilendirdi. Bu bilgiye rağmen, Zaki, Nisan 2023'te LSM'yi tamamlanmış olarak tanıttı ve Kuzey Koreli geliştiricilerin katılımını veya güvenlik risklerini açıklamadan Cosmos Hub'a entegrasyonunu zorladı. Bu karar, Nisan 2023'te bir önerinin onaylanmasına ve Eylül 2023'te LSM'nin Cosmos Hub'a entegrasyonuna yol açtı.
Temel Güvenlik Açıkları ve Denetim Eksikliği
Güvenli bir yükseltme olarak pazarlanan LSM, aslında Oak Security denetiminde vurgulanan kritik bir sorun olan kesme kaçınmayı mümkün kılan özellikler sunuyor. Bu güvenlik açığı, katılımcıların cezaları önlemesine olanak tanıyarak, hisse ispatı sisteminin temel güvenlik mekanizmasını zayıflatıyor.
Geliştiriciler bu tasarımın kasıtlı olduğunu iddia etse de, kalıcı güvenlik açıkları tüm stake edilmiş ATOM tokenlerini riske atarak daha geniş Cosmos ağını potansiyel olarak etkileyebilir.
Ayrıca okuyun: Cosmos Hub, İzinli Akıllı Sözleşmelerle Güvenliği Artıracak
Dahası, LSM'nin kodu, bu süre zarfında değişiklikler yapılmasına rağmen 19 ay boyunca denetlenmedi. Eylül 2023'te Cosmos Hub'a entegre edilen modülün son versiyonu hala çözülmemiş sorunlar içeriyordu ve kodun çoğu DPRK bağlantılı geliştiriciler tarafından yazılmıştı.
Eylem Çağrıları ve Şeffaflık
Durumun ciddiyeti nedeniyle, sektör paydaşları, LSM'nin tam bir denetimi, Kuzey Koreli geliştiricilerin katılımının kapsamlı bir incelemesi ve olayların zaman çizelgesi hakkında tam şeffaflık dahil olmak üzere derhal düzeltici eylemler talep ediyor.
DPRK katılımının keşfi, açıklama eksikliği ve devam eden güvenlik riskleriyle birleştiğinde, Cosmos Hub'ın yükseltmelerinin arkasındaki yönetim ve karar alma süreçleri hakkında ciddi sorular ortaya çıkardı.
Feragatname: Bu makalede sunulan bilgiler yalnızca bilgilendirme ve eğitim amaçlıdır. Makale, finansal tavsiye veya herhangi bir türde tavsiye niteliği taşımaz. Coin Edition, bahsedilen içerik, ürün veya hizmetlerin kullanımı sonucunda meydana gelen kayıplardan sorumlu değildir. Okuyucular, şirketle ilgili herhangi bir eylemde bulunmadan önce dikkatli olmaya teşvik edilir.
