출처: 토큰포스트
코스모스(Cosmos) 공동창업자 재권(Jae Kwon)이 화요일 코스모스 허브(Cosmos Hub)의 유동성 스테이킹 모듈(LSM) 개발에 북한 요원들이 관여했다는 사실을 지적하며 모듈의 무결성과 보안에 대한 우려를 제기했다.
16일(현지시간) 더 블록에 따르면, 코스모스 공동창업자 재권이 화요일 코스모스 허브의 유동성 스테이킹 모듈의 무결성과 보안에 대한 우려를 제기했다. 이는 북한 요원들이 모듈의 상당 부분을 개발했다는 사실이 밝혀진 후 나온 발언이다.
재권은 “16개월 동안 LSM은 북한과 연관된 개인들에 의해 개발되었고, 그들의 기여가 적절한 보안 검증 없이 코스모스 허브에 통합되었다”고 말하며, 코스모스 검증인 호스팅 기업 아이큐루전(Iqlusion)과 그 리더 자키 마니안(Zaki Manian)의 “중대한 과실”을 비난했다.
아이큐루전과 마니안은 2021년 8월 준 카이(Jun Kai)와 사라웃 사닛(Sarawut Sanit)과 함께 LSM 개발을 시작했다. 후에 재권은 이들이 북한 요원이라고 주장했다. 재권은 이 두 명의 의혹을 받는 요원들이 대부분의 코드를 기여했다고 주장했다.
재권은 게시물에서 아이큐루전 리더가 소셜 미디어에서 인정했듯이 2023년 3월부터 북한 요원들의 개입을 알고 있었음에도 불구하고, 마니안이 이번 달 초까지 이 문제와 다른 미해결 보안 문제를 숨겼다고 썼다.
재권은 “추가 감사를 실시하거나 이 문제를 코스모스 커뮤니티에 공개하는 등의 선제적 조치를 취하는 대신, 자키는 공개적으로 모듈이 ‘배포 준비가 되었다’고 주장했다”고 밝혔다. 그는 “자키의 투명성 부족과 판단 미숙은 코스모스 커뮤니티가 아이큐루전에 둔 신뢰를 심각하게 위반한 것”이라고 덧붙였다.
2022년 감사에서 LSM의 중대한 취약점이 발견되었음에도 불구하고, 같은 북한 요원들이 이를 수정하는 책임을 맡았으며, 재권은 마지막 코드 병합도 동일했다고 주장했다. 한편 마니안은 스테이킹 기업 스트라이드(Stride)와 함께 배포 전에 LSM 코드를 다시 작성했다고 주장했다.
재권은 또한 LSM이 “독립형” 모듈이 아니라 기존 코스모스 스테이킹 모듈 위에 구축된 수정 및 확장의 집합이기 때문에 이러한 취약점들이 잠재적으로 모든 스테이킹된 코스모스의 ATOM 토큰에 중대한 위험을 가할 수 있다고 주장했다.
그는 코스모스 거버넌스 커뮤니티에 LSM에 대한 포괄적인 감사를 즉시 실시할 것을 촉구했다. 또한 인터체인 재단(Interchain Foundation)에 더 엄격한 감사 요건을 시행하고 새로운 코스모스 구현의 안전을 보장하기 위한 감독 프로토콜을 개발할 것을 촉구했다.
