Експерти підтвердили участь пов’язаного з КНДР розробника у проєктах Cosmos
Interchain Labs підтвердила, що між 2022 і 2024 роками один із розробників, залучених до роботи над проєктами екосистеми Cosmos, виявився пов’язаним із Північною Кореєю.
The investigation identified the malicious actor as an engineer employed by former core-stack maintenance vendors between 2022 and 2024, prior to the formation and takeover of ICL as the core Cosmos stack developer.
— Interchain Foundation (@interchain_io) June 16, 2025
This incident was contained through structural reforms. After…
Учасник працював на стороннього підрядника ще до централізації розробки стеку. Після передачі контролю Interchain Labs його доступ був заблокований.
Розробник діяв під псевдонімом cool-develope і мав обмежений доступ до двох репозиторіїв — cosmos/IAVL і cosmos/cosmos-sdk. За висновками спільного аудиту Interchain Labs, Security Alliance та Asymmetric Research, більшість надісланих ним змін не потрапила до релізів — їх відкинули разом зі скасуванням SDK v2. Активних вразливостей не виявлено.
Для посилення прозорості Interchain Labs тимчасово подвоїла винагороди за баги на сторінці Cosmos у HackerOne, зокрема, за виявлення потенційних проблем, пов’язаних із кодом cool-develope.
У компанії наголосили, що інцидент стався ще до централізації розробки стеку під керівництвом Interchain Labs. Після цього було впроваджено нові протоколи перевірки персоналу та доступу, що дозволило виявити зв’язок розробника з КНДР. Згодом він намагався повторно влаштуватися в проєкт, але був відхилений після перевірки.
«Ми оновили всі протоколи безпеки, відкликали старі доступи, перепризначили ролі, змінили ключі й посилили контроль над внесками до репозиторіїв», — заявив співдиректор ICL Баррі Планкетт.
За його словами, загроз безпеці не зафіксовано, але спільноту закликали до подальшої перевірки. Код, до якого мав доступ розробник, буде повністю переписано в новій версії IAVL v2.
CEO Asymmetric Research Джонатан Клаудіус назвав інцидент показовим:
«Екосистеми з відкритим кодом потребують постійної проактивної роботи над безпекою. Cosmos — не перша екосистема, у яку проникли зловмисники, і вона буде останньою»
У жовтні 2024 з’ясувалося, що частину коду для модуля ліквідного стейкінгу (LSM) написали північнокорейські програмісти. Тоді співзасновник Cosmos Дже Квон звинуватив CEO Iqlusion Закі Маніана (розробника LSM) у недбалості — той приховав факт інциденту від спільноти.
Нагадаємо, згідно зі звітом Silent Push, група Contagious Interview, пов’язана з північнокорейською хакерською організацією Lazarus, зареєструвала три підставні компанії для поширення шкідливого ПЗ.