이번엔 코스모스 허브에서 북한 개발자들이 얽힌 사건이 터졌다네요.
코스모스 허브의 '리퀴드 스테이킹 모듈(LSM)'이 북한 개발자들이 참여했다는 소식이 전해졌습니다.
LSM은 코스모스 생태계에서 스테이킹된 ATOM 토큰을 보다 유동성 있게 사용할 수 있도록 만든 모듈이에요. 스테이킹한 자산을 묶어두지 않고 더 자유롭게 거래할 수 있게 해주는 기능인데, 이 중요한 시스템을 북한 개발자들이 손댔다네요 ㅋㅋ
근데 사건의 경과를 보면 조금 어이가 없습니다.
2021년 8월에 개발이 시작됐고, 2022년 7월에 이미 심각한 보안 취약점이 발견됐대요. 그리고 2023년 3월에 FBI가 이 모듈에 북한 개발자들이 관여했다는 사실을 개발팀에 알렸다고 합니다. 그런데 그 사실을 알고도 Zaki는 2023년 4월에 아무런 언급 없이 LSM을 "완료됐다"고 홍보했다는 점입니다.
타임라인:
• 2021년 8월: LSM 개발 시작, Iqlusion & Zaki Manian이 주도
• 2022년 7월: Oak Security 감사에서 치명적인 취약점 발견; 북한 개발자들이 수정 작업 담당
• 2023년 3월: FBI가 Zaki에게 북한 관련성을 통보
• 2023년 4월: FBI의 통보에도 불구하고 Zaki는 LSM을 “완료됨”이라고 홍보하며, Cosmos Hub 커뮤니티에 알리지 않고 LSM 신호 제안서를 체인에 추진
• 2023년 9월: 감사 완료 후 19개월 만에 Hub에 LSM 통합
문제는 LSM 코드의 대부분이 북한 개발자에 의해 작성됐다는 되었고, 스테이킹된 모든!! ATOM이 잠재적인 위험에 노출될 수 있다네요.
보안 취약점도 여전히 남아 있어서, 슬래싱을 회피할 수 있는 문제점도 여전히 해결되지 않았다고 하니 리스크가 큽니다.
전문가들은 즉각적인 취약점 수정과 종합적인 감사를 요구하고 있데요. 북한 개발자들이 어떻게 관여하게 됐는지, 또 이 사실을 언제 알게 됐는지 전면 공개도 필요하다고 해요.
북한은 오물 풍선도 날리고 이래 저래 바쁘네요.
출처: https://github.com/allinbits/announcements/blob/main/2024_10_15_lsmnk.md