コスモスハブのリキッドステーキングモジュール、コア開発に北朝鮮工作員が関与

コスモスハブのLSMに北朝鮮工作員が関与

コスモスハブ(Cosmos Hub)のリキッドステーキングモジュール(LSM)に重大なセキュリティリスクを発見したと、コスモス(Cosmos)エコシステムの開発会社オールインビッツ(All in Bits)が公式Xアカウントにて10月16日に報告した。

その報告によるとコスモスハブのLSMの開発は、2021年8月にザキ・マニアン(Zaki Manian)氏によって設立されたコスモスバリデーターのホスティング会社イクルージョン(Iqlusion)によって開始された。しかし、後に北朝鮮と関係があることが判明したジュン・カイ(Jun Kai)氏とサラウット・サニット(Sarawut Sanit)がLSMのコードの大部分を提供していたという。

また2022年7月には、オークセキュリティ(Oak Security)の監査によりLSMに重大な脆弱性が発見されていたとのこと。この際に、元のコードの大部分を提供した同じ北朝鮮の開発者が、監査で明らかになった問題に対処する任務を負っていたという。

その後2023年3月にFBIが、LSMの開発に北朝鮮の開発者が関与していたことをマニアン氏に通告したとのこと。しかしマニアン氏はこの事実をコスモスコミュニティに開示しなかっただけでなく、脆弱性を放置し未監査のまま19か月間にわたりLSMのコードを変更していたという。マニアン氏はLSMのコスモスハブへの統合アナウンスをする前に、さらなる監査や北朝鮮の開発者が貢献したコードの徹底的なレビューを実施しなかったと報告書で指摘されている。

そして2024年10月2日にマニアン氏は、2023年3月時点で北朝鮮とのつながりを知りつつも、2023年4月にLSMシグナリング提案を推進する前に、この情報をコスモスコミュニティに開示しなかったことを認めたとのことだ。

なお現在もLSM内にスラッシングの回避を可能にする脆弱性が残っているとのこと。なおスラッシングとは、PoS(Proof of Stake)において不正を行ったバリデーターから、ステーキングされた資金を罰金として没収する機能のことだ。

LSMは独立したモジュールではなく、既存のステーキングや配布、スラッシング・モジュールに対して一連の修正を行うため、セキュリティリスクはシステム全体に影響する。そのため今回の問題は、ATOM保有者にとってリスクが高い状態にあることを意味している。

またオールインビッツは、コスモスのインフラストラクチャの開発・運営を支援するインターチェーン財団(ICF:Interchain Foundation)の他、ストライドラボ(Stride Labs)、インフォーマルシステムズ(Informal Systems)らがLSMの宣伝を行っていたことも指摘しており、ICFの透明性が低いことに対する提言も行った。

オールインビッツはこれらの問題への対応として、LSMの重大な脆弱性を直ちに修正し、即時の包括的なLSM監査を行うことや、北朝鮮工作員の関与の全容の開示、発見のスケジュールを明らかにすること、関係者のICFブラックリストを開示し、ICFが資金を提供するプロジェクトのための新たな監査・監督プロトコル作成を提案している。

参考:報告書
画像:iStocks/Panorama-Images

関連ニュース

関連するキーワード

この記事の著者・インタビューイ

田村聖次

和歌山大学システム工学部所属
格闘技やオーケストラ、茶道など幅広い趣味を持つ。
SNSでは、チェコ人という名義で、ブロックチェーンエンジニアや、マーケターとしても活動している。「あたらしい経済」の外部記者として記事の執筆も。

和歌山大学システム工学部所属
格闘技やオーケストラ、茶道など幅広い趣味を持つ。
SNSでは、チェコ人という名義で、ブロックチェーンエンジニアや、マーケターとしても活動している。「あたらしい経済」の外部記者として記事の執筆も。

合わせて読みたい記事

【1/17話題】トランプ新政権が暗号資産を国家優先事項に、ヴィタリックがSoneiumの対応に好意的意見など(音声ニュース)

ブロックチェーン・仮想通貨(暗号資産)・フィンテックについてのニュース解説を「あたらしい経済」編集部が、平日毎日ポッドキャストでお届けします。Apple Podcast、Spotify、Voicyなどで配信中。ぜひとも各サービスでチャンネルをフォロー(購読登録)して、日々の情報収集にお役立てください。

Sponsored

Napier Labs、利回りトークン化プロトコル「Napier Finance v2」の追加情報を公開

大手DeFi(分散型金融)プロトコル「カーブファイナンス(Curve Finace)」の創業者らが出資するなどで注目を集めるDeFiプロジェクト「ネイピアファイナンス(Napier Finance)」の主要開発元「ネイピアラボ(Napier Labs)」が、新プロトコル「ネイピアファイナンスv2(Napier Finance v2)」についてのブログを1月15日に公開した

ソラナDEX「Jupiter」の「JUP」トークンが2回目のエアドロへ、割当チェッカー公開

分散型取引所(DEX)「ジュピター(Jupiter)」の独自トークン「JUP」が、2回目のエアドロップ(無償配布)で合計7億JUP(約900億円)配布される。またエアドロップ割り当て数を確認できるチェッカー機能が公開された。「ジュピター」の公式Xアカウントで1月16日発表されている

マレーシア、暗号資産・ブロックチェーンの法律導入を検討

マレーシアのアンワル・イブラヒム(Anwar bin Ibrahim)首相が、アブダビ政府および大手暗号資産(仮想通貨)取引所バイナンス(Binance)と会談し、マレーシアにおいて暗号資産やブロックチェーン技術に関する法律の導入を検討していると現地メディア「ニュー・ストレーツ・タイムズ (New Straits Times)」が1月14日報じた