コスモスハブのリキッドステーキングモジュール、コア開発に北朝鮮工作員が関与

Bitget App

スマートな取引を実現

neweconomy-news (JP)2024/10/16 11:15

著者:田村聖次

コスモスハブのLSMに北朝鮮工作員が関与

コスモスハブ（Cosmos Hub）のリキッドステーキングモジュール（LSM）に重大なセキュリティリスクを発見したと、コスモス（Cosmos）エコシステムの開発会社オールインビッツ（All in Bits）が公式Xアカウントにて10月16日に報告した。

その報告によるとコスモスハブのLSMの開発は、2021年8月にザキ・マニアン（Zaki Manian）氏によって設立されたコスモスバリデーターのホスティング会社イクルージョン（Iqlusion）によって開始された。しかし、後に北朝鮮と関係があることが判明したジュン・カイ（Jun Kai）氏とサラウット・サニット（Sarawut Sanit）がLSMのコードの大部分を提供していたという。

また2022年7月には、オークセキュリティ（Oak Security）の監査によりLSMに重大な脆弱性が発見されていたとのこと。この際に、元のコードの大部分を提供した同じ北朝鮮の開発者が、監査で明らかになった問題に対処する任務を負っていたという。

その後2023年3月にFBIが、LSMの開発に北朝鮮の開発者が関与していたことをマニアン氏に通告したとのこと。しかしマニアン氏はこの事実をコスモスコミュニティに開示しなかっただけでなく、脆弱性を放置し未監査のまま19か月間にわたりLSMのコードを変更していたという。マニアン氏はLSMのコスモスハブへの統合アナウンスをする前に、さらなる監査や北朝鮮の開発者が貢献したコードの徹底的なレビューを実施しなかったと報告書で指摘されている。

そして2024年10月2日にマニアン氏は、2023年3月時点で北朝鮮とのつながりを知りつつも、2023年4月にLSMシグナリング提案を推進する前に、この情報をコスモスコミュニティに開示しなかったことを認めたとのことだ。

なお現在もLSM内にスラッシングの回避を可能にする脆弱性が残っているとのこと。なおスラッシングとは、PoS（Proof of Stake）において不正を行ったバリデーターから、ステーキングされた資金を罰金として没収する機能のことだ。

LSMは独立したモジュールではなく、既存のステーキングや配布、スラッシング・モジュールに対して一連の修正を行うため、セキュリティリスクはシステム全体に影響する。そのため今回の問題は、ATOM保有者にとってリスクが高い状態にあることを意味している。

またオールインビッツは、コスモスのインフラストラクチャの開発・運営を支援するインターチェーン財団（ICF：Interchain Foundation）の他、ストライドラボ（Stride Labs）、インフォーマルシステムズ（Informal Systems）らがLSMの宣伝を行っていたことも指摘しており、ICFの透明性が低いことに対する提言も行った。

オールインビッツはこれらの問題への対応として、LSMの重大な脆弱性を直ちに修正し、即時の包括的なLSM監査を行うことや、北朝鮮工作員の関与の全容の開示、発見のスケジュールを明らかにすること、関係者のICFブラックリストを開示し、ICFが資金を提供するプロジェクトのための新たな監査・監督プロトコル作成を提案している。

URGENT ALERT: AiB has uncovered cause for serious security concerns with Cosmos Hub’s Liquid Staking Module (LSM).

Timeline:
* Aug 2021: LSM development begins, led by Iqlusion & Zaki Manian
* Jul 2022: Oak Security audit reveals critical vulnerabilities; North Korean devs…
— All in Bits (@Allinbits_inc) October 15, 2024

参考：報告書
画像：iStocks/Panorama-Images

この記事の著者・インタビューイ

田村聖次

和歌山大学システム工学部所属
格闘技やオーケストラ、茶道など幅広い趣味を持つ。
SNSでは、チェコ人という名義で、ブロックチェーンエンジニアや、マーケターとしても活動している。「あたらしい経済」の外部記者として記事の執筆も。

前の記事ヴィタリックがイーサリアムのPoS改良を提案、ステーキング最低額を1ETHに

合わせて読みたい記事

ヴィタリックがイーサリアムのPoS改良を提案、ステーキング最低額を1ETHにイーサリアム（Ethereum）の共同創業者ヴィタリック・ブテリン（Vitalik Buterin）氏が、イーサリアムが現在採用しているコンセンサスアルゴリズムに大きな改良を行う大型提案を10月14日に発表した

田村聖次ニュース

パクソスがステーブルコイン決済プラットフォーム公開、ストライプと連携でステーブルコイン発行会社パクソス（Paxos）が、ステーブルコイン決済プラットフォームを新たに公開し、決済インフラ提供の米ストライプ（Stripe）が同プラットフォームの初の顧客になったことを10月15日発表した

一本寿和ニュース

グレイスケールの暗号資産バスケット型ファンド、NYSEがETF転換をSECに申請暗号資産（仮想通貨）のバスケット型ファンド「グレースケールデジタルラージキャップファンド：Grayscale Digital Large Cap Fund（GDLC）」のETF（上場投資信託）転換を申請する「19b-4申請書」が米SEC（証券取引委員会）に10月14日提出された

大津賀新也ニュース

カナリーキャピタル、米SECに「ライトコイン現物ETF」のS1申請書を提出米暗号資産（仮想通貨）運用会社カナリーキャピタルグループ（Canary Capital Group）が、暗号資産ライトコイン（LTC）のXRPの現物ETF（上場投資信託）に関して、米証券取引委員会（SEC）へS-1申請書類（FORM S-1）による登録届出書を10月15日に提出した

大津賀新也ニュース

トランプ一族のDeFi「WLF」の独自トークン「WLFI」が一般販売開始。初日売上は約13億円にとどまる米前大統領で2024年大統領選の候補者であるドナルド・トランプ（Donald Trump）氏とその家族が関わる暗号資産（仮想通貨）プロジェクト「ワールド・リバティ・ファイナンシャル（World Liberty Financial：WLF）」が、「WLF」の独自トークン「WLFI」の一般販売を開始したものの、出だしは不調のようだ

あたらしい経済編集部ニュース

テスラが2年ぶりにビットコイン移動、7.6億ドル相当を送金米テスラ（Tesla）が、暗号資産（仮想通貨）ビットコイン：Bitcoin（BTC）を2年ぶりに移動した。オンチェーン情報の追跡プラットフォーム「アーカム（Arkham）」が公式Xより10月16日発表した

一本寿和ニュース

リップル社、独自米ドルステーブルコイン「RLUSD」の上場取引所パートナーとマーケットメイカーを発表米リップル（Ripple）社が、独自米ドルステーブルコイン「リップルUSD（RLUSD）」の取引所パートナーおよびマーケットメイカーを10月16日発表した

あたらしい経済編集部ニュース

メタプラネット、ビットコインの「プットオプション」ロールアップとBTC保有残高増加を報告メタプラネットが、10月3日に実施を発表したビットコインの「プットオプションの売取引」について、同プットオプションを新たなプットオプションに置き換える「ロールアップ取引」を実施した。同社が10月16日発表した

大津賀新也ニュース

ビットフライヤー、ビットコイン（BTC）レバレッジ取引の最小発注数量を引き下げビットフライヤー（bitFlyer）が、暗号資産レバレッジ取引プロダクトの「bitFlyer Crypto CFD」において、最小発注数量を引き下げると10月15日発表した

大津賀新也ニュース

最新の記事をさらに見る >

免責事項：本記事の内容はあくまでも筆者の意見を反映したものであり、いかなる立場においても当プラットフォームを代表するものではありません。また、本記事は投資判断の参考となることを目的としたものではありません。

PoolX: 資産をロックして新しいトークンをゲット