Cosmos (ATOM) aún podría presentar vulnerabilidades críticas tras heredar código de hackers norcoreanos encubiertos que se hicieron pasar por desarrolladores. Los investigadores descubrieron que el módulo de staking líquido Cosmos podría necesitar una revisión o correr el riesgo de exponer los fondos de los usuarios a exploits.
Cosmos (ATOM) podría haber heredado código malicioso tras contratar a hackers norcoreanos encubiertos. Las vulnerabilidades podrían persistir en el módulo de staking líquido, lo que podría exponer los fondos a exploits.
El desarrollo del LSM comenzó en 2021, bajo la dirección de Zaki Manian y el proyecto Iqlusion. Iqlusion también ha recibido financiación de la Fundación Interchain (ICF) para sus actividades de desarrollo de los módulos Cosmos Hub.
En agosto, dos desarrolladores más se unieron al proyecto: Jun Kai y Sarawut Sanit, posteriormente vinculados a operaciones de piratería informática norcoreana. Incluso después de que el código fuera auditado, Kai y Sanit fueron los encargados de corregirlo. Ambos desarrolladores estuvieron activos hasta diciembre de 2022, y su afiliación no se descubrió hasta que el FBI contactó con Zaki Manian para informarle.
Las vulnerabilidades en el módulo LSM tardaron años en revelarse
Cosmos tardó años en recibir toda la información sobre el proceso del código base. En algún momento, la vulnerabilidad conocida para evadir el slashing supuestamente fue reparada. Sin embargo, el cofundador de Cosmos afirman que parte del código base se ha mantenido sin cambios y aún podría representar un riesgo.
Al mismo tiempo, Zaki Manian afirmó que el código base se reescribió desde cero, pero aún no explica por qué fue necesario reescribirlo. Manian afirmó que el primer LSM era un concepto, pero que la reescritura tardó muy poco antes de solicitar una votación.
Cosmos también presentaron evidencia de que el LSM aún dependía del código potencialmente malicioso. Incluso la reescritura contenía secciones significativas extraídas de las contribuciones de los hackers que se hicieron pasar por desarrolladores. El módulo de staking líquido de ATOM permite acciones maliciosas y evita el slashing. Un hacker podría crear valor dentro del ecosistema sin sufrir penalizaciones por su participación en ATOM.
La última confirmación del LSM data de febrero de 2022, coincidiendo con el tiempo en que los hackers aún trabajaban con el código. Tras el 11 de septiembre de 2023, esta versión del código ya llevaba 19 meses sin auditorías, pero se integró en el centro Cosmos .
El código base incluso fue aprobado mediante una propuesta comunitaria , sin revelar las vulnerabilidades conocidas en ese momento. El LSM se promocionó a través de las Cosmos Hub en un momento en que los proyectos de staking líquido se encontraban entre las narrativas criptográficas más populares.
No fue hasta octubre de 2024 que Zaki Manian admitió tener conocimiento de norcoreanos . Actualmente, el Cosmos Hub sigue funcionando sin que se hayan reportado hackeos, pero el problema persiste y los investigadores instan a que se realice como mínimo otra auditoría, o incluso un código base completamente nuevo. También se planteó la necesidad de una mayor divulgación de los riesgos, ya que se sospechaba del problema mucho antes de que se sistematizaran todos los detalles del módulo LSM.
Cosmos sigue siendo seguro para otras cadenas y proyectos
La mayor parte del valor bloqueado en Cosmos Hub se asigna a de staking líquido Stride y Stafi. Sin embargo, el valor en riesgo es relativamente bajo, alrededor de $876,000. Cosmos Hub, si bien intenta ser una infraestructura clave para DeFi y Web3, se ha quedado atrás de otros proyectos desde la caída del mercado de 2022.
Fuera del LSM, Cosmos sigue siendo un proveedor confiable para todos los proyectos de su ecosistema. Hasta la fecha, Cosmos alberga tokens valorados en más de 20 000 millones de dólares , con algunos de los proyectos de IA más destacados como activos principales. El mayor daño a Cosmos fue su participación en Terra (LUNA), que ahora permanece en la forma de Terra Classic (LUNC). Otro valor bloqueado pertenece a Cosmos cadenas , aunque no estén expuestas al staking líquido de ATOM.
Cosmos también alberga Celestia (TIA), así como el recientemente popular Injective (INJ), entre otras redes y proyectos Web3. Las cadenas laterales conectadas no se ven directamente afectadas por las vulnerabilidades de LSM.
Tras la noticia, ATOM extendió su caída de las últimas semanas, hasta los $4,43. ATOM en staking muestra una disparidad de precio significativa, con Atom en staking de Stride cotizando a $6,34 .
