Cosmos (ATOM) aún puede tener vulnerabilidades críticas después de heredar el código de piratas informáticos norcoreanos encubiertos que se hicieron pasar por desarrolladores. Los investigadores descubrieron que el módulo de participación líquida de Cosmos puede necesitar una revisión o correr el riesgo de exponer los fondos de los usuarios a vulnerabilidades.
Es posible que Cosmos (ATOM) haya heredado un código malicioso después de contratar a piratas informáticos norcoreanos encubiertos. Las vulnerabilidades aún pueden existir en el módulo de staking líquido, lo que podría exponer los fondos a ataques.
La construcción de LSM comenzó en 2021, bajo la dirección de Zaki Manian y el proyecto Iqlusion. Iqlusion también ha recibido financiación de la Fundación Interchain (ICF) para sus actividades de desarrollo de los módulos de Cosmos Hub.
En agosto, dos desarrolladores más se unieron al proyecto: Jun Kai y Sarawut Sanit, que luego fueron vinculados a operaciones de piratería informática de Corea del Norte. Incluso después de que el código pasara por una auditoría, Kai y Sanit fueron los encargados de corregirlo. Los dos desarrolladores estuvieron activos por última vez hasta diciembre de 2022, y su afiliación no se descubrió hasta que el FBI se puso en contacto con Zaki Manian con la información.
Las vulnerabilidades en el módulo LSM tardaron años en revelarse
La comunidad de Cosmos tardó años en recibir toda la información sobre el proceso de código base. En algún momento, supuestamente se reparó la vulnerabilidad conocida para la evasión de cortes. Sin embargo, el cofundador de Cosmos, Jae Kwon, y los investigadores de AllInBits afirman que parte del código base no ha cambiado y aún puede representar un riesgo.
Al mismo tiempo, Zaki Manian afirmó que el código base se reescribió desde cero, pero aún no resuelve el problema de por qué era necesario reescribir el código en primer lugar. Manian afirmó que el primer LSM era un concepto, pero que la reescritura tomó muy poco tiempo antes de llamar a votación.
Los miembros de la comunidad Cosmos también presentaron evidencia de que el LSM todavía dependía del código potencialmente malicioso. Incluso la reescritura contenía secciones significativas tomadas de las contribuciones de los piratas informáticos que se hicieron pasar por desarrolladores. El módulo de participación líquida de ATOM permite acciones maliciosas al tiempo que evita el slashing. Un pirata informático podría crear valor dentro del ecosistema, sin enfrentar una penalización en su participación de ATOM.
El último commit del LSM fue en febrero de 2022, coincidiendo con el momento en el que los hackers todavía estaban involucrados con el código. Después del 11 de septiembre de 2023, esta versión del código ya tenía 19 meses sin auditorías, pero se integró en el centro Cosmos.
El código base fue incluso votado por una propuesta de la comunidad, sin revelar las vulnerabilidades que se conocían en ese momento. El LSM se promocionó a través de las redes sociales del centro Cosmos en un momento en el que los proyectos de staking líquido estaban entre las narrativas criptográficas más populares.
Recién en octubre de 2024 Zaki Manian admitió que tenía conocimiento de los piratas informáticos norcoreanos. Actualmente, el staking líquido de Cosmos Hub sigue funcionando, sin que se hayan reportado ataques, pero el problema persiste y los investigadores están instando a que se realice al menos otra auditoría, si no una base de código completamente nueva. También se planteó la necesidad de una divulgación adicional de los riesgos, ya que se sospechó del problema mucho antes de que se sistematizaran todos los detalles del módulo LSM.
Cosmos sigue siendo seguro para otras cadenas y proyectos
La mayor parte del valor bloqueado en Cosmos Hub está asignado a los proyectos de staking líquido Stride y Stafi. Sin embargo, el valor en riesgo es relativamente bajo, alrededor de $876K. Cosmos Hub, si bien intenta ser una infraestructura clave para DeFi y Web3, se ha quedado rezagado con respecto a otros proyectos desde la caída del mercado de 2022.
Fuera del LSM, Cosmos sigue siendo un portador confiable para todos los proyectos de su ecosistema. Hasta ahora, Cosmos alberga tokens valorados en más de $20 mil millones, con algunos de los proyectos de IA más destacados como activos principales. El mayor daño a Cosmos fue su participación en Terra (LUNA), que ahora permanece en la forma de Terra Classic (LUNC). Otro valor bloqueado pertenece a las cadenas Cosmos adicionales, aunque no están expuestas al staking líquido de ATOM.
Cosmos también alberga Celestia (TIA), así como el recientemente popular Injective (INJ), entre otras redes y proyectos Web3. Las cadenas laterales conectadas no se ven afectadas directamente en función de las vulnerabilidades de LSM.
Tras la noticia, ATOM extendió su caída de las últimas semanas hasta los 4,43 dólares. ATOM en stake muestra una importante disparidad de precios, con Atom en stake de Stride cotizando a 6,34 dólares.
