Des chercheurs ont identifié des vulnérabilités potentielles au sein du module de staking liquide (LSM) du réseau Cosmos, prétendument liées à des injections de code par des hackers nord-coréens. Ce développement alarmant soulève des questions sur la sécurité et l’intégrité de Cosmos, notamment sa capacité à protéger les fonds des utilisateurs.

Vulnérabilités dans le module de staking liquide

Le LSM de Cosmos, qui a été présenté comme sûr et prêt pour la production, pourrait contenir du code malveillant. Le développement de ce module a débuté en 2021, dirigé par Zaki Manian et le projet Iqlusion, avec un financement de la Fondation Interchain (ICF). Cependant, en août 2021, deux nouveaux développeurs—Jun Kai et Sarawut Sanit—ont rejoint le projet, dont les liens avec des opérations de hacking nord-coréennes ont ensuite été découverts.

Malgré un audit de code initial, la découverte des affiliations de ces développeurs n’a été rendue publique que lorsque le FBI a alerté Manian. Des inquiétudes ont été soulevées concernant la sécurité des fonds mis en staking dans le réseau Cosmos, les chercheurs appelant à une révision approfondie de la base de code pour atténuer les risques.

Des vulnérabilités cachées pendant des années

Il a fallu plusieurs années à la communauté Cosmos pour comprendre l’ampleur des vulnérabilités au sein du LSM. Bien qu’il ait été affirmé que certains problèmes, tels que l’évasion de slashing, avaient été résolus, des preuves suggèrent que certaines parties du code restent inchangées et continuent de poser des risques.

Zaki Manian a déclaré que le LSM original n’était qu’un concept et a affirmé que le code avait été réécrit de zéro. Cependant, cette explication ne clarifie pas pourquoi de telles mesures drastiques étaient nécessaires en premier lieu. Des membres de la communauté ont souligné que même la réécriture supposée conserve d’importantes sections de code des hackers.

De plus, les dernières mises à jour significatives du code ont coïncidé avec l’implication des hackers, et depuis septembre 2023, le module n’a pas été audité pendant 19 mois, même s’il a été intégré au Cosmos Hub.

Risques persistants et recommandations

Les implications de ces vulnérabilités sont graves. La structure du LSM permet des actions malveillantes tout en évitant les pénalités de slashing. Cela signifie qu’un hacker pourrait exploiter l’écosystème sans faire face à des conséquences sur ses tokens ATOM mis en staking. La situation nécessite non seulement une réévaluation du code existant, mais aussi des divulgations supplémentaires concernant les risques potentiels.

Malgré ces constatations alarmantes, Cosmos n’a jusqu’à présent signalé aucun hack. Cependant, des experts du domaine appellent à un nouvel audit du LSM, voire à une refonte complète de la base de code pour garantir la sécurité des utilisateurs.

Cosmos reste résilient pour d’autres projets

Bien que les vulnérabilités au sein du LSM soient préoccupantes, l’écosystème Cosmos dans son ensemble semble stable pour d’autres chaînes et projets. La majorité de la valeur verrouillée dans le Cosmos Hub est liée à des projets de staking liquide comme Stride et Stafi, avec une valeur de risque estimée à environ 876 000 dollars.

Bien que Cosmos ait rencontré des défis, notamment après l’effondrement de Terra (LUNA), il reste une infrastructure vitale pour la DeFi et le Web3. Le réseau héberge actuellement des tokens d’une valeur de plus de 20 milliards de dollars, y compris des projets d’IA significatifs et divers réseaux prometteurs tels que Celestia (TIA) et Injective (INJ). Il est important de noter que ces chaînes latérales ne sont pas directement affectées par les vulnérabilités du LSM.

Conclusion

Les récentes révélations concernant Cosmos soulignent la nécessité d’une vigilance et d’un examen continus dans l’espace des cryptomonnaies. Alors que le réseau se confronte à ces vulnérabilités potentielles, il doit également naviguer dans son rôle de couche fondamentale pour de nombreux projets et innovations.

Avec le prix de l’ATOM ayant récemment chuté à 4,43 dollars, la situation souligne l’importance de la sécurité et de la transparence pour maintenir la confiance des utilisateurs et la stabilité de l’écosystème. La communauté Cosmos attend de nouveaux développements et des assurances concernant l’intégrité de son module de staking liquide et la sécurité globale de son réseau.