Cosmos pourrait présenter des vulnérabilités critiques et contenir des injections de code par des pirates informatiques nord-coréens

Cosmos (ATOM) pourrait encore présenter des vulnérabilités critiques suite à l'intégration de code provenant de pirates informatiques nord-coréens infiltrés se faisant passer pour des développeurs. Des chercheurs ont découvert que le module de staking de liquidités Cosmos pourrait nécessiter une refonte complète, sous peine d'exposer les fonds des utilisateurs à des failles de sécurité. 

Cosmos (ATOM) pourrait avoir hérité d'un code malveillant après avoir recruté des pirates informatiques nord-coréens infiltrés. Des vulnérabilités pourraient encore exister dans le module de staking de liquidités, exposant potentiellement les fonds à des attaques. 

Le développement de LSM a débuté en 2021, sous l'impulsion de Zaki Manian et du projet Iqlusion. Iqlusion a également bénéficié d'un financement de la Fondation Interchain (ICF) pour ses activités de développement de modules Cosmos Hub.

En août, deux autres développeurs ont rejoint le projet : Jun Kai et Sarawut Sanit, ultérieurement liés à des opérations de piratage informatique nord-coréennes. Même après un audit du code, ce sont Kai et Sanit qui ont été chargés de le corriger. Leur activité a cessé en décembre 2022, et leur implication n’a été découverte que lorsque le FBI a contacté Zaki Manian pour lui fournir ces informations.

Il a fallu des années pour révéler les vulnérabilités du module LSM

Il a fallu des années à la Cosmos pour obtenir toutes les informations relatives au processus de modification du code source. À un moment donné, la vulnérabilité connue permettant l'évasion par slashing aurait été corrigée. Cependant, Cosmos Jae Kwon, cofondateur de affirment qu'une partie du code source est restée inchangée et pourrait encore présenter un risque. 

Dans le même temps, Zaki Manian a affirmé que le code source avait été réécrit , sans toutefois expliquer pourquoi cette réécriture était nécessaire. Manian a déclaré que le premier LSM n'était qu'un concept, mais que la réécriture avait été effectuée très rapidement avant même qu'un vote ne soit organisé. 

Cosmos ont également apporté la preuve que le LSM s'appuyait encore sur un code potentiellement malveillant. Même la réécriture contenait des sections importantes issues des contributions des pirates se faisant passer pour des développeurs. Le module de staking liquide ATOM permet des actions malveillantes sans pénalité. Un pirate pourrait ainsi créer de la valeur au sein de l'écosystème sans encourir de sanction sur sa mise en ATOM. 

La dernière modification apportée au LSM remonte à février 2022, période qui coïncide avec celle durant laquelle les pirates informatiques travaillaient encore sur le code. Après le 11 septembre 2023, cette version du code n'avait fait l'objet d'aucun audit depuis 19 mois, mais était intégrée à la plateforme Cosmos . 

Le code source a même été approuvé par une proposition communautaire, sans que les vulnérabilités connues à ce moment-là ne soient divulguées. Le LSM a été promu sur les Cosmos à une époque où les projets de staking liquide figuraient parmi les sujets les plus populaires dans le monde des cryptomonnaies. 

Ce n'est qu'en octobre 2024 que Zaki Manian a admis avoir eu connaissance de l'existence nord-coréens . Actuellement, le Cosmos Hub continue de fonctionner, sans piratage signalé, mais le problème persiste et les chercheurs insistent sur la nécessité d'un nouvel audit, voire d'une refonte complète du code source. La nécessité d'une plus grande transparence quant aux risques a également été soulevée, car le problème était suspecté bien avant que les détails complets du module LSM ne soient formalisés. 

Cosmos reste sûr pour les autres chaînes et projets

La majeure partie des fonds bloqués sur Cosmos Hub est allouée aux de staking liquide Stride et Stafi. Cependant, la valeur à risque reste relativement faible, aux alentours de 876 000 $. Cosmos Hub, qui ambitionne de devenir une infrastructure clé pour DeFi et le Web3, a pris du retard par rapport à d'autres projets depuis le krach boursier de 2022. 

En dehors du LSM, Cosmos demeure une plateforme fiable pour tous les projets de son écosystème. À ce jour, Cosmos héberge des tokens d'une valeur de plus de 20 milliards de dollars, avec certains des projets d'IA les plus importants parmi ses principaux actifs. Le plus gros préjudice subi par Cosmos a été son implication dans Terra (LUNA), qui subsiste désormais sous la forme de Terra Classic (LUNC). D'autres valeurs sont bloquées sur les Cosmos chaînes, bien qu'elles ne soient pas exposées au staking liquide d'ATOM. 

Cosmos héberge également Celestia (TIA), ainsi que le récent Injective (INJ), parmi d'autres réseaux et projets Web3. Les chaînes latérales connectées ne sont pas directement affectées par les vulnérabilités LSM. 

Suite à cette annonce, l'ATOM a accentué sa baisse des dernières semaines, pour atteindre 4,43 $. L'ATOM en staking présente un écart de prix significatif, l'ATOM en staking de Stride se négociant à 6,34 $.