ICL确认与朝鲜关联个人曾贡献于Cosmos代码库 其代码已移除且无遗留风险

Gate News bot 消息，Interchain Labs（ICL）已确认，一名后来被确认与朝鲜有关联的个人在 2022 年至 2024 年期间受雇于前维护人员期间，曾为 Cosmos 代码库做出贡献。

这位 Cosmos 核心开发人员与安全联盟 (Security Alliance) 和 Asymmetric Research 合作发布了一份安全报告，证实该个人对两个代码库的访问权限有限：cosmos/IAVL 和 cosmos/cosmos-sdk。审查发现，在 SDK v2 取消后，他贡献的大部分代码已被弃用或从路线图中移除，独立审计未发现任何剩余风险或漏洞。

然而，为了提高透明度，ICL 将在下个月在 Cosmos HackerOne 页面上提供双倍赏金，奖励发现与该参与者的 GitHub 帐户“cool-develope”相关的任何符合条件的漏洞的人员。

具体而言，该个人从 2022 年年中到 2024 年 11 月，在 ICL 成立和 Cosmos 第三方维护模式结束之前，曾为前核心堆栈维护供应商工作。ICL 在一份声明中表示，在接管所有核心堆栈开发后，团队实施了新的安全和招聘协议，从而发现了这个问题，并阻止其进一步的贡献。同一人后来再次申请职位，但被标记并被拒绝。

ICL 表示，自 2 月份以来，它已对所有核心 Cosmos 存储库实施了全面的安全升级，包括撤销旧访问权限、重新许可所有贡献者、轮换凭证以及加强审计控制。

消息来源：The Block