Соучредитель Cosmos Дже Квон обвинил в халатности CEO Iqlusion Заки Маниана, разработчика модуля ликвидного стейкинга (LSM), на основании анализа, проведенного All in Bits.

URGENT ALERT: AiB has uncovered cause for serious security concerns with Cosmos Hub's Liquid Staking Module (LSM).

Timeline:
* Aug 2021: LSM development begins, led by Iqlusion & Zaki Manian
* Jul 2022: Oak Security audit reveals critical vulnerabilities; North Korean devs…
— All in Bits (@Allinbits_inc) October 15, 2024

Как выяснилось, Маниан не раскрыл, что значительную часть кода для LSM писали программисты из Северной Кореи. Он также не сообщил об этом после того, как ФБР идентифицировало их личности и предупредило компанию о возможных угрозах.

В 2022 году компания Oak Security провела аудит безопасности решения, разработанного по заказу Interchain Foundation (ICF), и выявила критические уязвимости. Однако в апреле 2023 года Маниан объявил о завершении работы над LSM, несмотря на оставшиеся проблемы.

«Важно отметить, что LSM — это не отдельный модуль, а скорее ряд модификаций и расширений, построенных поверх существующих решений для стейкинга Cosmos. […] Любая уязвимость в продукте Iqlusion может подвергнуть риску все заблокированные ATOM», — отметили специалисты All in Bits.

Ответ Гадикяна

Разработчик Cosmos Гадикян не согласился с предложением ограничиться аудитом:

«Аудита будет недостаточно», — заявил он. По его словам, произошла атака на цепочку поставки кода для Cosmos Hub, и северокорейские хакеры уже «заразили» часть репозиториев SDK.

Он отметил, что необходимо очистить кодовую базу Cosmos Hub от влияния северокорейских хакеров, а также с сарказмом представил новые логотипы для Cosmos Hub и ICF.