Cosmos (ATOM) 在继承了伪装成开发者的朝鲜黑客的代码后,可能仍然存在严重漏洞。研究人员发现, Cosmos 流动性质押模块可能需要彻底改造,否则用户资金将面临被攻击的风险。.
Cosmos (ATOM) 可能在雇佣朝鲜卧底黑客后继承了恶意代码。这些漏洞可能仍然存在于流动性质押模块中,使资金面临被攻击的风险。.
LSM的建设始于2021年,由Zaki Manian和Iqlusion项目牵头。Iqlusion还获得了Interchain基金会(ICF)的资助,用于开发 Cosmos Hub模块。.
8月,又有两名开发者加入该项目——Jun Kai和Sarawut Sanit,他们后来与朝鲜黑客行动有关联。即使代码经过审核,负责修复代码的仍然是Kai和Sanit。这两名开发者最后一次活跃是在2022年12月,直到FBI联系Zaki Manian提供相关信息后,他们的关联才被发现。.
LSM模块中的漏洞花了数年时间才被发现。
Cosmos花了数年时间才获得关于代码库开发过程的全部信息。据称,之前已知的规避攻击漏洞已被修复。然而, Cosmos联合创始人 Jae Kwon 和 AllInBits 的研究人员声称,部分代码库仍然未做任何更改,可能仍然存在风险。
与此同时,扎基·马尼安声称代码库是重写的,但他仍然没有解释为什么最初需要重写代码。马尼安表示,最初的LSM只是一个概念,但重写工作在发起投票前就迅速完成。
Cosmos社区成员还提供了证据,表明 LSM 仍然依赖于可能存在恶意的代码。即使是重写版本,也包含大量取自伪装成开发者的黑客贡献的代码。ATOM 流动性质押模块允许恶意行为发生,同时避免受到惩罚。黑客可以在生态系统中创造价值,而无需承担 ATOM 质押的损失。
LSM 的最后一次提交是在 2022 年 2 月,与黑客仍在参与代码修改的时期重合。2023 年 9 月 11 日之后,该版本的代码已有 19 个月未经过任何审计,但已被集成到 Cosmos 中心。.
社区提案投票通过,但并未披露当时已知的漏洞。LSM 通过Cosmos Hub 社交媒体进行推广,当时流动性质押项目是加密货币领域最热门的话题之一。
朝鲜知晓此事。目前, Cosmos Hub的流动性质押功能仍在运行,尚未报告任何黑客攻击事件,但问题依然存在,研究人员敦促至少进行另一次审计,甚至可能需要重新编写代码库。此外,由于早在LSM模块的全部细节被系统化之前,人们就已怀疑存在该问题,因此有必要进一步披露相关风险。
Cosmos 对其他链条和项目而言仍然是安全的。
Cosmos 上锁定的大部分价值都分配给了流动性质押项目 Stride 和 Stafi。然而,其面临的风险价值相对较低,约为 87.6 万美元。Cosmos Hub 虽然力图成为DeFiCosmos其发展一直落后于其他项目。
在LSM之外, Cosmos仍然是其所有生态系统项目的可靠载体。迄今为止, Cosmos托管的代币价值超过200亿美元,其中一些最知名的AI项目是其主要资产。Cosmos遭受的最大损失Cosmos Classic 的形式存在。其他锁定价值属于Cosmos 这些链不参与 ATOM 流动性质押。
Cosmos 还托管了 Celestia (TIA) 以及最近热门的 Injective (INJ) 等网络和 Web3 项目。根据 LSM 漏洞,连接的侧链不会直接受到影响。.
消息公布后, ATOM价格延续了过去几周的跌势,跌至4.43美元。质押版ATOM的价格差异显著,Stride Staked Atom的交易价格为6.34美元。
