Un audit de sécurité révèle des failles dans le module de Liquid Staking de Cosmos Hub
CléUn examen de sécurité a révélé des vulnérabilités critiques dans le module de Liquid Staking (LSM) intégré au Cosmos Hub. Développé par Iqlusion et dirigé par Zaki Manian, ce module présente des failles qui pourraient compromettre l’intégrité du système et la sécurité des utilisateurs.
Un développement sous surveillance et des vulnérabilités critiques
Le développement du LSM a débuté en août 2021, dirigé par Iqlusion et soutenu par d'autres organisations comme Stride Labs et Informal Systems.
En juillet 2022, Oak Security a audité la base de code du LSM et a découvert des vulnérabilités sévères, notamment celles liées à l’évasion des pénalités de slashing, un mécanisme clé du système de preuve d'enjeu (Proof-of-Stake).
Malgré ces découvertes, les développeurs nord-coréens, qui avaient écrit une part importante du code, ont été chargés de corriger les failles, ce qui a soulevé des inquiétudes quant à l’intégrité du processus de correction.
En mars 2023, le FBI a informé Zaki Manian des liens de ces développeurs avec la Corée du Nord. Cependant, Zaki a continué à promouvoir le LSM comme étant terminé en avril 2023, sans révéler ces informations ni les risques de sécurité associés.
Vulnérabilités persistantes et absence d’audits
Malgré la présentation du LSM comme une amélioration sécurisée, l’audit d’Oak Security a souligné que certaines fonctionnalités permettaient aux participants d'éviter les pénalités de slashing, affaiblissant ainsi la sécurité du système de proof-of-stake.
Ces failles ont laissé en danger les tokens ATOM mis en staking, avec un potentiel impact sur l'ensemble du réseau Cosmos.
De plus, le code du LSM est resté sans audit pendant 19 mois, malgré les changements effectués durant cette période. La version finale intégrée au Cosmos Hub en septembre 2023 contenait encore des problèmes non résolus, alors que la majorité du code avait été écrit par des développeurs liés à la DPRK (République populaire démocratique de Corée).
Face à la gravité de la situation, des acteurs de l’industrie demandent des actions immédiates, notamment un audit complet du LSM, une révision approfondie de l'implication des développeurs nord-coréens et une transparence totale sur la chronologie des événements.
La découverte de cette implication, combinée à l’absence de divulgation des risques et aux failles persistantes, soulève de sérieuses questions sur la gouvernance et les décisions prises pour les mises à jour du Cosmos Hub.
CléRédacteur pour Crypto-Neet. J'ai commencé à m'intéresser aux cryptomonnaies en 2017, juste avant le bull run de fin d'année. Après avoir réalisé toutes les erreurs de débutant, j'ai décidé de m'intéresser sérieusement à la blockchain, à la DeFi et au trading. C'est aujourd'hui devenu une passion de tous les jours que je partage à travers des articles d'actualités et des reviews vulgarisées. Passionné aussi par la création de contenus, je tente de créer une expérience intéressante et facile à utiliser pour les lecteurs et utilisateurs. Dernièrement, je me spécialise sur l'utilisation de Midjourney pour accompagner nos contenus sur la cryptomonnaie. Je rédige aussi des articles sur Alti Trading et Tradingbeasts. Retrouvez-moi sur X.
