ICL підтвердив, що особа, пов'язана з Північною Кореєю, раніше внесла вклад у кодову базу Cosmos. Її код було видалено, і ризику залишків немає.

Gate News bot повідомляє, що Interchain Labs (ICL) підтвердили, що особа, яка пізніше була підтверджена як пов’язана з Північною Кореєю, працювала в період з 2022 по 2024 рік у колишнього обслуговуючого персоналу і зробила внесок у кодову базу Cosmos.

Цей основний розробник Cosmos спільно з безпековим альянсом (Security Alliance) та Asymmetric Research випустив звіт про безпеку, який підтверджує, що ця особа має обмежений доступ до двох кодових баз: cosmos/IAVL та cosmos/cosmos-sdk. Перевірка виявила, що після скасування SDK v2 більшість коду, який він вніс, було відкинуто або вилучено з дорожньої карти, незалежний аудит не виявив жодних залишкових ризиків чи вразливостей.

Проте, щоб підвищити прозорість, ICL надасть подвійну винагороду на сторінці Cosmos HackerOne наступного місяця для тих, хто виявить будь-які відповідні вразливості, що пов’язані з обліковим записом GitHub цього учасника “cool-develope”.

Зокрема, ця особа працювала на постачальника обслуговування попереднього основного стеку з середини 2022 року до листопада 2024 року, до закінчення режиму стороннього обслуговування ICL та Cosmos. ICL у своїй заяві зазначила, що після взяття на себе відповідальності за весь розвиток основного стеку команда впровадила нові протоколи безпеки та найму, внаслідок чого було виявлено цю проблему та запобігано її подальшому внеску. Той же самий кандидат пізніше знову подав заявку на посаду, але був помічений і отримав відмову.

ICL повідомляє, що з лютого було впроваджено комплексне оновлення безпеки для всіх основних репозиторіїв Cosmos, яке включає скасування старих прав доступу, повторне ліцензування всіх учасників, ротацію облікових даних та посилення контролю аудитів.

Джерело новини: The Block