dInterchain Labs, Asymmetric Research ve SEAL Alliance, Sınırlı DPRK Bağlantılı Sosyal Mühendislik Girişimi Üzerine Rapor Yayınladı; Rapor, Cosmos Stack Güvenliğine Hiçbir Etki Olmadığını Doğruladı
New York City, Amerika Birleşik Devletleri – 16 Haziran 2025 Pazartesi – Interchain Labs (ICL), Security Alliance (SEAL) ve Asymmetric Research (AR) ile işbirliği içinde, daha sonra Kore Demokratik Halk Cumhuriyeti (DPRK) ile bağlantılı olduğu tanımlanan bir kişi tarafından Cosmos depolarına geçmişte yapılan katkılar hakkında bir güvenlik raporu yayınladı. Bu kişi, ICL kurulmadan ve üçüncü taraf bakım modeli kullanımdan kaldırılmadan önce, 2022'nin ortasından Kasım 2024'e kadar eski Core Stack bakım satıcıları tarafından istihdam edildi. ICL'nin tüm çekirdek yığın geliştirme sorumluluklarının tamamıyla kurulması ve devralınmasının ardından, sorunu ortaya çıkaran ve daha fazla katkıyı önleyen yeni güvenlik ve işe alma protokolleri tanıtıldı. Rapor, bu geçmiş katkıların bir sonucu olarak Cosmos mimarisi için herhangi bir acil veya gelecekteki risk olmadığını doğruladı.
Aktör belirlendikten sonra – ICL ve AR, sürekli erişim risklerinin önlenmesi için proaktif güvenlik önlemleri aldı ve gereksiz katkıda bulunanları ortadan kaldırdı. ICL'nin güvenli işe alım politikalarının uygulanması, bu aktörün ICL'ye yeni bir iş başvurusu yapan olarak yeniden tanımlanmasına ve reddedilmesine yol açtı.
Rapor, bireyin önceki yöneticiler altında katkılarının ve erişiminin aşağıdaki depolarla sınırlı olduğunu buldu:
cosmos/IAVL
cosmos/cosmos-sdk
Bireyin kimliğinden haberdar olduktan sonra, ICL, Asymmetric Research (AR) ile işbirliği içinde kapsamlı bir soruşturma başlattı ve dağıtım durumundan bağımsız olarak tüm katkıları gözden geçirdi. Bu incelemeler, bu aktör tarafından yazılan neredeyse tüm SDK kodlarının, özellikle SDK v2'nin iptal edilmesinin bir sonucu olarak, ICL'nin yeniden düzenleme sonrası geçişi sırasında zaten kullanımdan kaldırıldığı veya yol haritasından çıkarıldığı sonucuna varmıştır. Halihazırda yayınlanmış IAVL ve Cosmos SDK katkılarının gözden geçirilmesinde, kapsamlı çok taraflı bağımsız denetimlerden sonra herhangi bir risk veya güvenlik açığı bulunmadı.
Şubat ayından bu yana, ICL tüm Cosmos ana depolarında bir dizi güvenlik yükseltmesi gerçekleştirmektedir. Bunlar arasında eski erişimlerin iptali, tüm katkıcıların yeniden yetkilendirilmesi, kimlik bilgilerinin döndürülmesi ve herhangi bir entegrasyon veya token yapılandırmasının güvence altına alınması bulunmaktadır. GitHub izinleri, tüm Cosmos GitHub organizasyonu genelinde eşit şube koruma ve genişletilmiş denetim yeteneklerini zorlayan kurallar seti aracılığıyla sistematik olarak güçlendirilmiştir. Bu önlemler, bu olayın ardından pekiştirilmiştir.
Sürekli güvenlik ve şeffaflığı teşvik etmek için, ICL toplumu bireyle ilgili gözden kaçan herhangi bir sorunu gün yüzüne çıkarmaya katılmaya davet ediyor. Önümüzdeki ay, Cosmos'un HackerOne sayfası "cool-develope" GitHub hesabıyla ilişkili herhangi bir nitelikli güvenlik açığı için iki katı ödül sunacak.
Interchain Labs Eş CEO'su Barry Plunkett şunları söyledi: "Bunun gibi olaylar, yalnızca Web3 ekosisteminde değil, daha geniş teknoloji ortamında daha yaygın olarak benimsenen ve titiz güvenlik prosedürlerine olan acil ihtiyacı gösteriyor. Şeffaflık ve güvenlik, Cosmos ekosisteminde en büyük önceliğimizdir. Cosmos Stack'in geliştirilmesini bu yıl ICL altında birleştirdiğimizden beri, yığın genelinde sıkı güvenlik standartlarını güncelledik ve uyguladık. Bu, liderliğimiz altında yer alan bireyin daha fazla katkıda bulunmasını önlememizi sağladı. KDHC aktörünün katkıda bulunduğu kötü amaçlı koda dair herhangi bir belirti bulamamış olsak da, ödül programımız aracılığıyla daha fazla topluluk incelemesini teşvik ediyoruz ve tam bir yeniden yazma olan IAVL v2'yi planlı sürümümüz aracılığıyla kod tabanını tamamen kullanımdan kaldıracağız."
Tüm katkıların artık Interchain Labs altında yoğunlaşmasıyla birlikte, Vakıf daha verimli güvenlik uygulamaları hayata geçirebilir ve tüm yığın için sızmalara karşı bir örtü savunması sağlamak için insan kaynakları denetimlerini uygulayabilir, değişken risk toleransına sahip üçüncü taraf sağlayıcılara olan bağımlılığı ortadan kaldırır. Bu ilerleme hızla kendini gösterdi; aynı aktör, bu yılın başlarında mühendislik rolü için ICL'ye yeni bir takma adla yeniden başvurmayı denedi ve potansiyel kötü niyetli bir aktör olarak işaretlendiğinde reddedildi.
Asymmetric Research'ten Jonathan Claudius şunları söyledi: "Bu durum, açık kaynaklı ekosistemlerin proaktif, sürekli güvenlik gerektirdiğini hatırlatıyor. Cosmos, kötü niyetli aktörler tarafından sızılan ilk ekosistem değil ve son da olmayacak. Şeffaflık sadece güven oluşturmakla kalmaz, aynı zamanda başkalarının kendi sistemlerini güçlendirmek için uygulayabilecekleri dersleri de ortaya çıkarır. Bu öğrenmeler, daha geniş ekosisteme fayda sağlar ve katmanlı, işbirlikçi savunma stratejilerinin önemini pekiştirir. Güvenlik İttifakı gibi girişimlerle birlikte proaktif güvenliğe yoğun bir şekilde odaklanmak, web3 alanını daha güçlü ve daha dayanıklı hale getirmeye yardımcı olacaktır." *
Barry Plunkett ve Brandon Pate yorum için mevcut
Interchain Laboratuvarları Hakkında:
Interchain Labs, bağımsız, ölçeklenebilir, sürdürülebilir ve birbirleriyle uyumlu blok zincirlerinden oluşan merkeziyetsiz bir ağ olan Cosmos'un geliştirme ve büyüme ekibidir. Cosmos, 250'den fazla uygulama ve hizmet ile 41 milyar USD'yi aşan piyasa değeri ile en büyük blok zinciri ekosistemlerinden biridir. Interchain Labs, Cosmos Hub, Cosmos ekosistemi ve blok zincirleri inşa etmek için bir yazılım paketi olan Interchain Stack'in geliştirilmesine öncülük etmektedir. Interchain Labs, Cosmos platformunu merkezine alarak daha özgür ve adil bir internet inşa etmeye çalışmaktadır. Daha fazla bilgi için, ziyaret edin
AR Hakkında
Asimetrik Araştırma (AR), L1/L2 blok zincirleri ve DeFi protokolleri ile uzun vadeli ortaklıklara odaklanan bir butik güvenlik girişimidir. Temel çalışmaları web3 güvenliğinin dört ana alanını kapsamaktadır: araştırma, olay müdahalesi, mühendislik ve altyapı hizmetleri. AR, ekiplerin dayanıklı sistemler inşa etmelerine, güvenlik duruşlarını güçlendirmelerine ve ortaya çıkan tehditlere proaktif bir şekilde yanıt vermelerine yardımcı olur.
SEAL Hakkında
SEAL, web3'teki önde gelen güvenlik ekipleri ve protokollerinin bir koalisyonudur, iş birliği, bilgi paylaşımı ve hızlı yanıt ile blockchain güvenlik standartlarını yükseltmek için birlikte çalışmaktadır. Teşvikleri uyumlu hale getirerek ve ortak çerçeveler oluşturarak, SEAL ekosistemi tehditler ve istismarlar karşısında korur, merkeziyetsiz teknolojiler için daha güvenli, daha dayanıklı bir gelecek teşvik eder.
Medya sorguları için lütfen iletişime geçin: interchain@wachsman.com
Bitcoin.com hiçbir sorumluluk veya yükümlülük kabul etmez ve makalede bahsedilen içerik, mal veya hizmetlerin kullanımından veya bunlara güvenilmesinden kaynaklandığı iddia edilen veya gerçekten kaynaklanan herhangi bir zarar veya kayıptan doğrudan veya dolaylı olarak sorumlu değildir.
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
dInterchain Labs, Asymmetric Research ve SEAL Alliance, Sınırlı DPRK Bağlantılı Sosyal Mühendislik Girişimi Üzerine Rapor Yayınladı; Rapor, Cosmos Stack Güvenliğine Hiçbir Etki Olmadığını Doğruladı
Bu içerik bir sponsor tarafından sağlanmıştır.
New York City, Amerika Birleşik Devletleri – 16 Haziran 2025 Pazartesi – Interchain Labs (ICL), Security Alliance (SEAL) ve Asymmetric Research (AR) ile işbirliği içinde, daha sonra Kore Demokratik Halk Cumhuriyeti (DPRK) ile bağlantılı olduğu tanımlanan bir kişi tarafından Cosmos depolarına geçmişte yapılan katkılar hakkında bir güvenlik raporu yayınladı. Bu kişi, ICL kurulmadan ve üçüncü taraf bakım modeli kullanımdan kaldırılmadan önce, 2022'nin ortasından Kasım 2024'e kadar eski Core Stack bakım satıcıları tarafından istihdam edildi. ICL'nin tüm çekirdek yığın geliştirme sorumluluklarının tamamıyla kurulması ve devralınmasının ardından, sorunu ortaya çıkaran ve daha fazla katkıyı önleyen yeni güvenlik ve işe alma protokolleri tanıtıldı. Rapor, bu geçmiş katkıların bir sonucu olarak Cosmos mimarisi için herhangi bir acil veya gelecekteki risk olmadığını doğruladı.
Aktör belirlendikten sonra – ICL ve AR, sürekli erişim risklerinin önlenmesi için proaktif güvenlik önlemleri aldı ve gereksiz katkıda bulunanları ortadan kaldırdı. ICL'nin güvenli işe alım politikalarının uygulanması, bu aktörün ICL'ye yeni bir iş başvurusu yapan olarak yeniden tanımlanmasına ve reddedilmesine yol açtı.
Rapor, bireyin önceki yöneticiler altında katkılarının ve erişiminin aşağıdaki depolarla sınırlı olduğunu buldu:
Bireyin kimliğinden haberdar olduktan sonra, ICL, Asymmetric Research (AR) ile işbirliği içinde kapsamlı bir soruşturma başlattı ve dağıtım durumundan bağımsız olarak tüm katkıları gözden geçirdi. Bu incelemeler, bu aktör tarafından yazılan neredeyse tüm SDK kodlarının, özellikle SDK v2'nin iptal edilmesinin bir sonucu olarak, ICL'nin yeniden düzenleme sonrası geçişi sırasında zaten kullanımdan kaldırıldığı veya yol haritasından çıkarıldığı sonucuna varmıştır. Halihazırda yayınlanmış IAVL ve Cosmos SDK katkılarının gözden geçirilmesinde, kapsamlı çok taraflı bağımsız denetimlerden sonra herhangi bir risk veya güvenlik açığı bulunmadı.
Şubat ayından bu yana, ICL tüm Cosmos ana depolarında bir dizi güvenlik yükseltmesi gerçekleştirmektedir. Bunlar arasında eski erişimlerin iptali, tüm katkıcıların yeniden yetkilendirilmesi, kimlik bilgilerinin döndürülmesi ve herhangi bir entegrasyon veya token yapılandırmasının güvence altına alınması bulunmaktadır. GitHub izinleri, tüm Cosmos GitHub organizasyonu genelinde eşit şube koruma ve genişletilmiş denetim yeteneklerini zorlayan kurallar seti aracılığıyla sistematik olarak güçlendirilmiştir. Bu önlemler, bu olayın ardından pekiştirilmiştir.
Sürekli güvenlik ve şeffaflığı teşvik etmek için, ICL toplumu bireyle ilgili gözden kaçan herhangi bir sorunu gün yüzüne çıkarmaya katılmaya davet ediyor. Önümüzdeki ay, Cosmos'un HackerOne sayfası "cool-develope" GitHub hesabıyla ilişkili herhangi bir nitelikli güvenlik açığı için iki katı ödül sunacak.
Interchain Labs Eş CEO'su Barry Plunkett şunları söyledi: "Bunun gibi olaylar, yalnızca Web3 ekosisteminde değil, daha geniş teknoloji ortamında daha yaygın olarak benimsenen ve titiz güvenlik prosedürlerine olan acil ihtiyacı gösteriyor. Şeffaflık ve güvenlik, Cosmos ekosisteminde en büyük önceliğimizdir. Cosmos Stack'in geliştirilmesini bu yıl ICL altında birleştirdiğimizden beri, yığın genelinde sıkı güvenlik standartlarını güncelledik ve uyguladık. Bu, liderliğimiz altında yer alan bireyin daha fazla katkıda bulunmasını önlememizi sağladı. KDHC aktörünün katkıda bulunduğu kötü amaçlı koda dair herhangi bir belirti bulamamış olsak da, ödül programımız aracılığıyla daha fazla topluluk incelemesini teşvik ediyoruz ve tam bir yeniden yazma olan IAVL v2'yi planlı sürümümüz aracılığıyla kod tabanını tamamen kullanımdan kaldıracağız."
Tüm katkıların artık Interchain Labs altında yoğunlaşmasıyla birlikte, Vakıf daha verimli güvenlik uygulamaları hayata geçirebilir ve tüm yığın için sızmalara karşı bir örtü savunması sağlamak için insan kaynakları denetimlerini uygulayabilir, değişken risk toleransına sahip üçüncü taraf sağlayıcılara olan bağımlılığı ortadan kaldırır. Bu ilerleme hızla kendini gösterdi; aynı aktör, bu yılın başlarında mühendislik rolü için ICL'ye yeni bir takma adla yeniden başvurmayı denedi ve potansiyel kötü niyetli bir aktör olarak işaretlendiğinde reddedildi.
Asymmetric Research'ten Jonathan Claudius şunları söyledi: "Bu durum, açık kaynaklı ekosistemlerin proaktif, sürekli güvenlik gerektirdiğini hatırlatıyor. Cosmos, kötü niyetli aktörler tarafından sızılan ilk ekosistem değil ve son da olmayacak. Şeffaflık sadece güven oluşturmakla kalmaz, aynı zamanda başkalarının kendi sistemlerini güçlendirmek için uygulayabilecekleri dersleri de ortaya çıkarır. Bu öğrenmeler, daha geniş ekosisteme fayda sağlar ve katmanlı, işbirlikçi savunma stratejilerinin önemini pekiştirir. Güvenlik İttifakı gibi girişimlerle birlikte proaktif güvenliğe yoğun bir şekilde odaklanmak, web3 alanını daha güçlü ve daha dayanıklı hale getirmeye yardımcı olacaktır." *
Barry Plunkett ve Brandon Pate yorum için mevcut
Interchain Laboratuvarları Hakkında:
Interchain Labs, bağımsız, ölçeklenebilir, sürdürülebilir ve birbirleriyle uyumlu blok zincirlerinden oluşan merkeziyetsiz bir ağ olan Cosmos'un geliştirme ve büyüme ekibidir. Cosmos, 250'den fazla uygulama ve hizmet ile 41 milyar USD'yi aşan piyasa değeri ile en büyük blok zinciri ekosistemlerinden biridir. Interchain Labs, Cosmos Hub, Cosmos ekosistemi ve blok zincirleri inşa etmek için bir yazılım paketi olan Interchain Stack'in geliştirilmesine öncülük etmektedir. Interchain Labs, Cosmos platformunu merkezine alarak daha özgür ve adil bir internet inşa etmeye çalışmaktadır. Daha fazla bilgi için, ziyaret edin
AR Hakkında
Asimetrik Araştırma (AR), L1/L2 blok zincirleri ve DeFi protokolleri ile uzun vadeli ortaklıklara odaklanan bir butik güvenlik girişimidir. Temel çalışmaları web3 güvenliğinin dört ana alanını kapsamaktadır: araştırma, olay müdahalesi, mühendislik ve altyapı hizmetleri. AR, ekiplerin dayanıklı sistemler inşa etmelerine, güvenlik duruşlarını güçlendirmelerine ve ortaya çıkan tehditlere proaktif bir şekilde yanıt vermelerine yardımcı olur.
SEAL Hakkında
SEAL, web3'teki önde gelen güvenlik ekipleri ve protokollerinin bir koalisyonudur, iş birliği, bilgi paylaşımı ve hızlı yanıt ile blockchain güvenlik standartlarını yükseltmek için birlikte çalışmaktadır. Teşvikleri uyumlu hale getirerek ve ortak çerçeveler oluşturarak, SEAL ekosistemi tehditler ve istismarlar karşısında korur, merkeziyetsiz teknolojiler için daha güvenli, daha dayanıklı bir gelecek teşvik eder.
Medya sorguları için lütfen iletişime geçin: interchain@wachsman.com
_________________________________________________________________________
Bitcoin.com hiçbir sorumluluk veya yükümlülük kabul etmez ve makalede bahsedilen içerik, mal veya hizmetlerin kullanımından veya bunlara güvenilmesinden kaynaklandığı iddia edilen veya gerçekten kaynaklanan herhangi bir zarar veya kayıptan doğrudan veya dolaylı olarak sorumlu değildir.