- 리퀴드 스테이킹 모듈(LSM) 심각한 보안 우려 제기… 긴급 감사 및 전면 공개 촉구
코스모스 생태계 구축자인 올인비츠(AiB)가 코스모스 허브의 리퀴드 스테이킹 모듈(LSM)에 대한 심각한 보안 우려를 제기하며 “긴급 경고”를 발령했다.
AiB는 LSM 개발 과정에서 북한 개발자들이 개입했으며, 이로 인해 취약점이 발생했을 가능성을 지적했다.
주요 내용:
- 2021년 8월: 아이클루전(Iqlusion)과 자키 마니안(Zaki Manian) 주도로 LSM 개발 시작
- 2022년 7월: 오크 시큐리티(Oak Security) 감사에서 심각한 취약점 발견, 북한 개발자들이 수정 작업에 투입
- 2023년 3월: FBI, 자키 마니안에게 북한 개입 사실 통보
- 2023년 4월: FBI 통보에도 불구하고 자키 마니안, 코스모스 허브 커뮤니티에 공개하지 않고 LSM을 “완료”되었다고 홍보하며 LSM 시그널링 제안을 추진
- 2023년 9월: 감사 후 19개월 만에 LSM 허브에 통합
주요 우려 사항:
- LSM 코드 대부분 북한 개발자들이 작성
- “LSM”은 독립형 모듈이 아니라 기존 스테이킹/배포/슬래싱 모듈을 수정한 것으로, 스테이킹된 모든 아톰(ATOM)에 영향을 미칠 가능성
- 슬래싱 회피 가능 취약점 지속
- 19개월 동안 감사되지 않은 코드 변경
- 자키 마니안과 아이클루전의 허위 진술
- 인터체인 재단(ICF), 스트라이드 랩스(Stride Labs), 인포멀 시스템즈(Informal Systems)의 투명성 부족
권고 사항:
- LSM의 주요 스테이킹 취약점 즉각 수정
- 즉각적이고 포괄적인 LSM 감사
- 북한 개입 발견 관련 타임라인 전면 공개
- 관련 당사자에 대한 ICF 블랙리스트 등재
- ICF 지원 프로젝트에 대한 새로운 감사 및 감독 프로토콜 마련
AiB는 이번 사건이 코스모스 허브의 보안과 무결성을 훼손한다고 지적하며, 아톰원(AtomOne)은 이러한 원칙을 지키기 위해 노력할 것이라고 밝혔다.
