Interchain Labs、Asymmetric Research 和 SEAL Alliance 发布关于与朝鲜民主主义人民共和国(DPRK)相关的社交工程尝试的报告;报告确认对 Cosmos Stack 安全没有影响。

CN
bitcoin.com
关注
9小时前

_此内容由赞助商提供。
_

美国纽约市 – 2025年6月16日,星期一 – Interchain Labs(ICL)与安全联盟(SEAL)和非对称研究(AR)合作,发布了一份关于与朝鲜民主主义人民共和国(DPRK)相关的个人对Cosmos代码库的过去贡献的安全报告。该个人自2022年中至2024年11月曾受雇于前Core Stack维护供应商,在ICL成立和第三方维护模式退役之前。ICL成立并全面接管所有核心堆栈开发责任后,推出了新的安全和招聘协议,揭示了这一问题并防止了进一步的贡献。报告确认,因这些过去的贡献,Cosmos架构没有立即或未来的风险。

一旦识别出该行为者,ICL和AR采取了主动的安全措施,以确保防范持续访问的风险,并移除了不必要的贡献者。ICL的安全招聘政策的实施导致该行为者被重新识别为ICL的新求职申请者,并被拒绝。

报告本身发现,该个人在之前的维护者下的贡献和访问仅限于以下代码库:

  • cosmos/IAVL
  • cosmos/cosmos-sdk

在得知该个人的身份后,ICL与非对称研究(AR)合作,启动了一项全面调查,审查所有贡献——无论部署状态如何。这些审查得出结论,几乎所有由该行为者撰写的SDK代码在ICL的重组过渡期间已被弃用或排除在路线图之外,特别是由于SDK v2的取消。在对已发布的IAVL和Cosmos SDK贡献的审查中,经过广泛的多方独立审计,没有发现风险或漏洞。

自2月以来,ICL一直在对所有Cosmos核心代码库执行一系列安全升级。这些包括撤销遗留访问权限、重新授权所有贡献者、轮换凭证以及确保任何集成或令牌配置的安全。通过实施统一的分支保护规则集和扩展审计能力,系统性地加强了GitHub权限。这些措施在此次事件后得到了进一步强化。

为了促进持续的安全性和透明度,ICL邀请社区参与揭示与该个人相关的任何被忽视的问题。在接下来的一个月里,Cosmos的HackerOne页面将为与GitHub账户“cool-develope”相关的任何合格漏洞提供双倍奖励。

Interchain Labs的联合首席执行官Barry Plunkett表示:“此类事件展示了在Web3生态系统乃至更广泛的技术领域中,迫切需要更广泛采用和严格的安全程序。透明度和安全性是我们在Cosmos生态系统中的首要任务。自今年将Cosmos Stack的开发统一在ICL之下以来,我们已更新并执行了严格的安全标准。这使我们能够在我们的领导下防止该个人的进一步贡献。虽然我们没有发现DPRK行为者贡献的恶意代码的迹象,但我们通过我们的奖励计划激励进一步的社区审查,并将通过计划发布的IAVL v2完全弃用该代码库,这是一项全面重写。

随着所有对Cosmos Stack的贡献现在集中在Interchain Labs,基金会可以实施更高效的安全实践,并执行人力资源保护措施,为整个堆栈提供全面的防御,以抵御渗透,消除对风险容忍度各异的第三方提供商的依赖。这一进展很快显现,当同一行为者试图以新别名重新申请ICL的工程职位时,因被标记为潜在恶意行为者而被拒绝。

来自非对称研究(Asymmetric Research)的Jonathan Claudius表示:“这个案例提醒我们,开源生态系统需要主动、持续的安全。Cosmos并不是第一个被恶意行为者渗透的生态系统,也不会是最后一个。透明度不仅建立信任,还揭示了其他人可以应用的教训,以加强他们自己的系统。这些经验教训有利于更广泛的生态系统,并强化了分层、协作防御策略的重要性。对主动安全的加强关注,以及安全联盟等倡议,将有助于使web3领域更强大、更具韧性。”

巴里·普伦基特(Barry Plunkett)和布兰登·佩特(Brandon Pate)可供评论

关于Interchain Labs:

Interchain Labs是Cosmos的开发和增长团队,Cosmos是一个去中心化的独立、可扩展、可持续和可互操作的区块链网络。Cosmos是最大的区块链生态系统之一,拥有超过250个应用和服务,市值超过410亿美元。Interchain Labs负责Cosmos Hub、Cosmos生态系统和Interchain Stack的开发——一个用于构建区块链的软件套件。Interchain Labs致力于以Cosmos平台为核心,构建一个更自由和公平的互联网。欲了解更多信息,请访问 https://interchain.io/。

关于AR

非对称研究(Asymmetric Research,AR)是一家专注于与L1/L2区块链和DeFi协议建立长期合作关系的精品安全风险投资公司。其核心工作涵盖web3安全的四个关键领域:研究、事件响应、工程和基础设施服务。AR帮助团队构建韧性系统,加强安全态势,并主动应对新兴威胁。

关于SEAL

SEAL是web3中领先的安全团队和协议的联盟,致力于通过协作、信息共享和快速响应提高区块链安全标准。通过对齐激励和建立共享框架,SEAL保护生态系统免受威胁和利用,促进去中心化技术的更安全、更具韧性的未来。

媒体查询,请联系: interchain@wachsman.com

_________________________________________________________________________

Bitcoin.com不承担任何责任或义务,并且对因使用或依赖文章中提到的任何内容、商品或服务而造成或声称造成的任何损害或损失不承担直接或间接的责任。

免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。

注册币安返10%送$600,超2亿人的选择
链接:https://accounts.suitechsui.blue/zh-CN/register?ref=FRV6ZPAF&return_to=aHR0cHM6Ly93d3cuc3VpdGVjaHN1aS5hY2FkZW15L3poLUNOL2pvaW4_cmVmPUZSVjZaUEFG
广告
分享至:

相关文章

avatar
avatarbitcoin.com
53分钟前
比特币结点现在在对抗核心的坚定推动中占据了网络的12%
avatar
avatarbitcoin.com
1小时前
每周ETF回顾:比特币和以太坊ETF吸引强劲的机构需求,合计流入19亿美元
avatar
avatarbitcoin.com
2小时前
Bitget加入联合国儿童基金会游戏改变者联盟,计划在2025年为30万人提供区块链教育
avatar
avatarbitcoin.com
2小时前
前10大加密货币上涨,以BTC、ADA和XRP领涨
avatar
avatarbitcoin.com
2小时前
油价从上周高点暴跌8.7%,中东紧张局势动摇市场
APP下载

X

Telegram

Facebook

Reddit

复制链接