Cosmos (ATOM) pode ainda conter vulnerabilidades críticas após herdar código de hackers norte-coreanos infiltrados que se fizeram passar por desenvolvedores. Pesquisadores descobriram que o módulo de staking líquido Cosmos pode precisar de uma revisão completa, sob o risco de expor os fundos dos usuários a explorações.
Cosmos (ATOM) pode ter herdado código malicioso após contratar hackers norte-coreanos infiltrados. As vulnerabilidades podem ainda existir no módulo de staking líquido, expondo potencialmente os fundos a explorações.
A construção do LSM teve início em 2021, liderada por Zaki Manian e pelo projeto Iqlusion. A Iqlusion também recebeu financiamento da Interchain Foundation (ICF) para suas atividades no desenvolvimento de módulos Cosmos Hub.
Em agosto, mais dois desenvolvedores se juntaram ao projeto: Jun Kai e Sarawut Sanit, posteriormente ligados a operações de hackers norte-coreanos. Mesmo após o código ter passado por uma auditoria, Kai e Sanit foram os responsáveis por corrigi-lo. Os dois desenvolvedores estiveram inativos até dezembro de 2022, e sua ligação só foi descoberta quando o FBI contatou Zaki Manian com a informação.
As vulnerabilidades no módulo LSM levaram anos para serem divulgadas
Cosmos levou anos para receber todas as informações sobre o processo de desenvolvimento do código-fonte. Em algum momento, a vulnerabilidade conhecida de evasão de penalidades (slashing) foi supostamente corrigida. No entanto, o cofundador Cosmos afirmam que parte do código-fonte permaneceu inalterada e ainda pode representar um risco.
Ao mesmo tempo, Zaki Manian afirmou que a base de código foi reescrita do zero, mas ainda não esclareceu por que o código precisava ser reescrito. Manian declarou que o primeiro LSM era apenas um conceito, mas a reescrita ocorreu em um curto período de tempo antes de ser convocada uma votação.
Cosmos também apresentaram evidências de que o LSM ainda dependia de código potencialmente malicioso. Mesmo a reescrita continha seções significativas retiradas das contribuições dos hackers que se faziam passar por desenvolvedores. O módulo de staking líquido de ATOM permite ações maliciosas sem sofrer penalidades. Um hacker poderia gerar valor dentro do ecossistema sem ser penalizado em seus ATOMs.
O último commit do LSM foi em fevereiro de 2022, coincidindo com o período em que os hackers ainda estavam envolvidos com o código. Após o 11 de setembro de 2023, essa versão do código já havia passado 19 meses sem auditorias, mas foi integrada ao hub Cosmos .
O código-fonte foi inclusive aprovado por meio de uma proposta da comunidade , sem que as vulnerabilidades conhecidas na época fossem divulgadas. O LSM foi promovido através das Cosmos em um momento em que projetos de staking líquido estavam entre as narrativas mais populares do mundo das criptomoedas.
Somente em outubro de 2024, Zaki Manian admitiu ter conhecimento da existência de hackers norte-coreanos Cosmos Hub continua funcionando, sem relatos de ataques, mas o problema persiste e pesquisadores recomendam, no mínimo, uma nova auditoria, se não a reformulação completa do código-fonte. A necessidade de maior transparência em relação aos riscos também foi levantada, visto que o problema já era suspeito muito antes da completa sistematização do módulo LSM.
Cosmos continua sendo um ambiente seguro para outras redes e projetos
A maior parte do valor bloqueado no Cosmos Hub está alocada aos de staking de liquidez Stride e Stafi. No entanto, o valor em risco é relativamente baixo, em torno de US$ 876 mil. Cosmos Hub, embora busque ser uma infraestrutura fundamental para DeFi e Web3, ficou para trás em relação a outros projetos desde a crise do mercado de 2022.
Fora do LSM, Cosmos continua sendo um veículo confiável para todos os projetos de seu ecossistema. Até o momento, Cosmos hospeda tokens avaliados em mais de US$ 20 bilhões , com alguns dos projetos de IA mais proeminentes entre seus principais ativos. O maior prejuízo para Cosmos foi seu envolvimento com a Terra (LUNA), que agora permanece na forma de Terra Classic (LUNC). Outro valor bloqueado pertence ao Cosmos cadeias , embora não estejam expostas ao staking líquido ATOM.
Cosmos também hospeda o Celestia (TIA), bem como o recentemente popular Injective (INJ), entre outras redes e projetos Web3. As cadeias laterais conectadas não são diretamente afetadas pelas vulnerabilidades do LSM.
Após a notícia, o ATOM estendeu sua queda das últimas semanas, chegando a US$ 4,43. O ATOM em staking apresenta uma disparidade de preço significativa, com o Stride Staked Atom sendo negociado a US$ 6,34 .
