뉴스
코인정보
라운지
커뮤니티
TPI 
매체소개
고객센터
0
인터체인 랩스(Interchain Labs)가 북한과 연결된 것으로 후에 확인된 개인이 2022년과 2024년 사이 이전 유지보수업체에 고용되어 있는 동안 코스모스(Cosmos) 저장소에 기여했다고 확인했다.
16일(현지시간) 더 블록에 따르면, 인터체인 랩스가 보안 얼라이언스(Security Alliance)와 어시메트릭 리서치(Asymmetric Research)와 협력해 북한과 연결된 것으로 후에 확인된 개인이 2022년과 2024년 사이 이전 유지보수업체에 고용되어 있는 동안 코스모스 저장소에 기여했다고 확인하는 보안 보고서를 발표했다.
코스모스 핵심 개발자는 보안 얼라이언스와 어시메트릭 리서치와 협력해 이 개인이 cosmos/IAVL과 cosmos/cosmos-sdk 두 저장소에 제한적 접근 권한을 가졌다고 확인하는 보안 보고서를 발표했다. 검토 결과 그가 기여한 코드 대부분은 SDK v2 취소에 따라 사용이 중단되거나 로드맵에서 제외되었으며, 독립적인 감사에서는 남아있는 위험이나 취약점을 발견하지 못했다.
그러나 투명성을 지원하기 위해 ICL은 다음 달 동안 코스모스 해커원(HackerOne) 페이지에서 행위자의 깃허브 계정 "cool-develope"와 연결된 자격을 갖춘 취약점 발견에 대해 이중 현상금 보상을 제공하고 있다.
더 구체적으로, 이 개인은 ICL 설립과 코스모스의 제3자 유지보수 모델 종료 이전인 2022년 중반부터 2024년 11월까지 이전 핵심 스택 유지보수 벤더에서 근무했다. ICL이 모든 핵심 스택 개발을 인수한 후 새로운 보안 및 채용 프로토콜이 구현되어 이 문제를 발견하고 추가 기여를 차단했다고 더 블록과 공유된 성명에서 밝혔다. 같은 개인이 나중에 직책에 재지원했지만 표시되어 거부되었다.
ICL은 2월부터 레거시 액세스 취소, 모든 기여자 재허가, 자격증명 교체, 감사 통제 강화 등 모든 핵심 코스모스 저장소에 걸쳐 광범위한 보안 업그레이드를 구현했다고 말했다.
인터체인 랩스 공동 최고경영자 배리 플런켓(Barry Plunkett)은 "이와 같은 사건들은 웹3 생태계뿐만 아니라 더 넓은 기술 환경에서 더 널리 채택되고 엄격한 보안 절차에 대한 긴급한 필요성을 보여준다"고 말했다. "투명성과 보안은 코스모스 생태계 내에서 우리의 최우선 순위다. 올해 ICL 하에 코스모스 스택 개발을 통합한 이후 스택 전반에 걸쳐 엄격한 보안 기준을 업데이트하고 시행했다. 이를 통해 우리 리더십 하에서 관련 개인의 추가 기여를 방지할 수 있었다. DPRK 행위자가 기여한 악성 코드의 징후는 발견하지 못했지만, 현상금 프로그램을 통해 추가 커뮤니티 검토를 장려하고 있으며, 완전히 다시 작성된 IAVL v2의 계획된 릴리스를 통해 코드베이스를 완전히 사용 중단할 예정이다"라고 덧붙였다.
ICL은 모든 코스모스 스택 기여를 인터체인 랩스 하에 중앙화한 것이 재단이 일관된 보안 관행과 HR 프로토콜을 적용할 수 있게 해 다양한 위험 허용도를 가진 제3자에 대한 의존도를 줄였다고 밝혔다.
어시메트릭 리서치 최고경영자 조나단 클라우디우스(Jonathan Claudius)는 "이 사례는 오픈소스 생태계가 능동적이고 지속적인 보안을 요구한다는 점을 상기시켜준다"고 말했다. "코스모스는 악의적 행위자에게 침투당한 첫 번째 생태계가 아니며 마지막도 아닐 것이다. 투명성은 신뢰를 구축할 뿐만 아니라 다른 사람들이 자신의 시스템을 강화하는 데 적용할 수 있는 교훈을 드러낸다. 이러한 학습은 더 넓은 생태계에 도움이 되며 계층화된 협력적 방어 전략의 중요성을 강화한다. 보안 얼라이언스와 같은 이니셔티브와 함께 능동적 보안에 대한 집중적인 초점은 웹3 공간을 더 강하고 탄력적으로 만드는 데 도움이 될 것이다"라고 말했다.
10월 코스모스 공동창립자 재 권(Jae Kwon)은 코스모스 허브의 리퀴드 스테이킹 모듈의 무결성과 보안에 대해 별도의 우려를 제기하며, 개발의 상당 부분이 후에 북한 요원으로 확인된 개인들에 의해 수행되었다고 밝혔다.
권은 당시 "16개월 동안 LSM은 북한과 연결된 개인들에 의해 개발되었으며, 그들의 기여는 적절한 보안 심사 없이 코스모스 허브에 통합되었다"고 말하며 코스모스 기반 개발 회사 이큘루전(Iqlusion)과 그 리더 자키 마니안(Zaki Manian)의 "중대한 과실"을 비난했다.
이큘루전은 2021년 준 카이(Jun Kai)와 사라우트 사닛(Sarawut Sanit)과 함께 LSM 개발을 시작했는데, 권은 후에 그들이 북한 요원이라고 주장했다. 2022년 감사에서 중요한 취약점이 발견되었지만, 같은 개발자들이 이를 수정하는 임무를 맡았다고 보고되었다. 권은 그들의 최종 코드 병합이 유지되었다고 주장했다. 그러나 마니안은 코드가 스테이킹 회사 스트라이드(Stride)와 협력해 배포 전에 다시 작성되었다고 말했다.
![[Episode 12] IXO™2024 참여하고, 2억원 상당 에어드랍 받자!](https://f1.tokenpost.kr/2024/03/bk2tc5rpf6.png)
![[Episode 11] 코인이지(CoinEasy) 에어드랍](https://f1.tokenpost.kr/2024/02/g0nu4cmps6.png)
![[Episode 8] Alaya 커뮤니티 입장하고, $AGT 받자!](https://f1.tokenpost.kr/2023/10/0evqvn0brd.png)
![[Episode 6] 아트테크 하고, 에어드랍 받자!](https://f1.tokenpost.kr/2023/08/3b7hm5n6wf.jpg)
![[토큰포스트] 기사 퀴즈 353회차](https://f1.tokenpost.kr/2025/06/0r76rajiiv.png)
![[토큰포스트] 기사 퀴즈 352회차](https://f1.tokenpost.kr/2025/06/ptgk3pr4kc.webp)
![[토큰포스트] 기사 퀴즈 351회차](https://f1.tokenpost.kr/2025/06/eq78f3l31i.jpg)
![[토큰포스트] 기사 퀴즈 350회차](https://f1.tokenpost.kr/2025/06/l4yq9b810i.png)
