No se han identificado riesgos de seguridad activos; se duplica la recompensa por hallazgos vinculados al actor en cuestión
Colaborador vinculado a Corea del Norte trabajó en el ecosistema Cosmos entre 2022 y 2024
Interchain Labs (ICL), el actual mantenedor del núcleo de desarrollo de Cosmos, ha revelado que un individuo con vínculos confirmados con Corea del Norte contribuyó a los repositorios del ecosistema mientras trabajaba para antiguos proveedores de mantenimiento entre 2022 y 2024.
Según un informe de seguridad elaborado por ICL junto a Security Alliance y Asymmetric Research, el individuo tuvo acceso limitado a los repositorios cosmos/IAVL y cosmos/cosmos-sdk. La revisión concluyó que la mayoría de sus aportes fueron depurados o eliminados tras la cancelación de la versión 2 del SDK, y que no se detectaron vulnerabilidades activas.
Revisión de seguridad y transparencia activa
Para reforzar la transparencia, Interchain Labs ha anunciado que duplicará las recompensas en su programa de bounty en HackerOne durante el próximo mes, específicamente para hallazgos vinculados a la cuenta de GitHub del actor involucrado, identificada como "cool-develope".
Tras la detección del incidente, ICL implementó medidas de seguridad en todos los repositorios del stack central de Cosmos, incluyendo:
- Revocación de accesos heredados.
- Reconfiguración de permisos.
- Rotación de credenciales.
- Fortalecimiento de controles de auditoría.
Cambio estructural tras asumir el control del stack
ICL asumió el desarrollo central de Cosmos tras el fin del modelo de mantenimiento por terceros. Desde entonces, la firma ha aplicado estándares de contratación y seguridad más rigurosos, que permitieron detectar el caso y evitar nuevas contribuciones del actor implicado, quien incluso intentó volver a postularse a un puesto dentro de la organización, pero fue rechazado.
El co-CEO de ICL, Barry Plunkett, declaró:
“Desde que centralizamos el desarrollo del Cosmos Stack bajo ICL este año, hemos actualizado y aplicado estándares de seguridad estrictos. Si bien no encontramos código malicioso en las contribuciones del actor, incentivamos la revisión comunitaria a través de nuestro programa de recompensas, y planeamos reemplazar completamente el código implicado mediante el lanzamiento de IAVL v2.”
No es la primera infiltración vinculada a Corea del Norte
El incidente no es aislado. En octubre de 2024, el cofundador de Cosmos, Jae Kwon, reveló que el módulo de liquid staking del Cosmos Hub fue desarrollado durante 16 meses por individuos vinculados a Corea del Norte, incluyendo a Jun Kai y Sarawut Sanit, quienes trabajaban bajo la supervisión de la firma Iqlusion.
Kwon denunció una falta grave de supervisión de seguridad y afirmó que las contribuciones de dichos actores fueron integradas sin verificación adecuada. Aunque posteriormente se reescribió el código en colaboración con Stride, la credibilidad del proceso quedó cuestionada.
Jonathan Claudius, CEO de Asymmetric Research, concluyó:
“Cosmos no es el primer ecosistema infiltrado por actores maliciosos, ni será el último. La transparencia y la vigilancia continua son claves para proteger el desarrollo open-source en Web3.”
