Scandale sur Cosmos : le Liquid Staking Module a-t-il été infiltré par la Corée du Nord ?
Au début du mois d’octobre, nous rapportions une affaire pour le moins inquiétante pour l’écosystème crypto. En effet, une enquête menée par nos confrères de Coindesk a permis de mettre en lumière une stratégie d’infiltration sophistiquée menée par la Corée du Nord dans les entreprises crypto. Les employés de Corée du Nord ainsi embauchés via de faux documents, renvoient la majorité de leurs revenus au gouvernement nord-coréen. De surcroît, cela pose de nombreux problèmes de sécurité. Notamment lorsqu’on sait les ravages faits par les hackers de Lazarus Group. L’affaire prend une nouvelle tournure avec des révélations au sein de l’écosystème Cosmos.
Au moment de la publication de notre premier article, nous avions déjà eu vent de l’affaire du Liquid Staking Module de Cosmos. Toutefois, une annonce publiée le 15 octobre sur le GitHub de Cosmos est venue apporter plus de détails à cette affaire.
Le LSM de Cosmos infiltré par la Corée du Nord
Tout commence en août 2021 quand Zaki Manian et l’équipe d’Iqlusion commencent le développement du Liquid Staking Module (LSM) de Cosmos.
Pour rappel, le Liquid Staking est une pratique qui vise à tokeniser les dépôts en staking. Contrairement au staking traditionnel, le liquid staking permet aux utilisateurs de participer au staking, tout en ayant la possibilité de réutiliser les jetons déposés en staking sur d’autres protocoles de finance décentralisée.
Le LSM devait ainsi renforcer l’expérience utilisateur et l’efficacité du capital. Le tout, en prenant exemple sur ce qui marchait sur d’autres chaînes telles qu’Ethereum. Or, cette fonctionnalité aurait pu se transformer en un cheval de Troie, engendrant des risques critiques pour le Cosmos Hub.
En effet, lorsqu’ils lancent le projet, Manian et Iqlusion sont alors accompagnés de deux développeurs, Jun Kai et Sarawut Sanit. Bien qu’ils ne l’aient appris que bien plus tard, ils venaient de faire une erreur qui aurait pu s’avérer dramatique.
En effet, ces deux développeurs, bien que considérés comme de simples contributeurs au départ, se sont révélés être liés à la Corée du Nord. Nous étions alors au cœur d’une des affaires d’infiltration nord-coréenne dans les entreprises crypto.
De son côté, le Liquid Staking Module sera déployé sur le mainnet de Cosmos en septembre 2023. Et pourtant, un an plus tard, l’affaire fait scandale dans l’écosystème Cosmos.
Le cofondateur de Cosmos dévoile les dessous de l’affaire
Mardi 15 octobre, Jae Kwon, l’un des cofondateurs de Cosmos, a publié une longue annonce dévoilant les dessous de l’affaire. Il y rapporte un laxisme déconcertant de la part de Zaki Manian et Iqlusion.
Reprenons l’affaire en 2022. À cette époque, lors d’un audit par Oak Security, plusieurs vulnérabilités critiques sont identifiées. Par exemple, ils ont découvert une faille permettant d’échapper au slashing, la pénalité imposée aux validateurs malintentionnés ou inactifs.
Malheureusement, faute de connaitre leur réelle identité, ce sont les mêmes développeurs nord-coréens qui ont été chargés de corriger ces failles. Cela compromettait davantage la sécurité du module, qui, on le rappelle, allait devenir central à l’écosystème de Cosmos.
Le FBI avertit Zaki Manian
Le tournant majeur intervient en mars 2023, lorsque le FBI contacte Zaki Manian, leader de l’équipe de développement. L’agence américaine l’informe alors que Kai et Sanit sont en fait des agents nord-coréens.
Toutefois, au lieu de tirer la sonnette d’alarme ou d’initier des audits supplémentaires, Manian garde le silence. Pire, il déclare publiquement que le LSM est « prêt à être déployé ». Balayant sous le tapis les failles identifiées dans les audits ainsi que les soupçons qui pèsent sur ses deux développeurs.
« Nos résultats confirment qu’une majorité du code des LSM, y compris des parties critiques, a été écrite par deux développeurs ayant des liens confirmés avec la Corée du Nord : Jun Kai et Sarawut Sanit. Dans un tweet daté du 2 octobre 2024, Zaki Manian a admis qu’il avait eu connaissance de leurs liens avec la RPDC dès mars 2023, à la suite d’un contact avec le FBI. »
Explique Jae Kwon
Les risques pour l’intégrité de Cosmos
Le Liquid Staking Module n’est pas un module isolé. Ses fonctionnalités sont intégrées directement dans le module de staking existant de Cosmos.
Cela signifie que toute vulnérabilité dans le LSM pourrait affecter l’ensemble du réseau. Mettant en danger tous les tokens ATOM déposés en staking.
De plus, le code réalisé par les développeurs nord-coréens n’a pas été suffisamment audité. Cela laisse évidemment planer le doute sur la possibilité que des portes dérobées ou autres failles critiques puissent avoir été introduites dans le système.
Jae Kwon appelle ainsi à un audit complet du module de liquid staking. Il milite également pour la mise en place de protocoles de sécurité plus stricts.
Cette affaire montre les limites de la gouvernance décentralisée, qui reste malgré tout vulnérable aux manipulations et à la négligence.
« Les processus de gouvernance qui ont permis de ratifier et de mettre en œuvre le module ne comportaient pas les contrôles nécessaires pour vérifier correctement le code avant qu’il ne soit déployé sur le Hub. »
De surcroît, Kwon suggère la création d’une liste noire des développeurs et des entités qui compromettent la sécurité du réseau.
Quoi qu’il en soit, ce problème doit être pris très au sérieux. Les protocoles sur d’autres blockchains telles qu’Ethereum ou Solana devraient, eux aussi, redoubler de vigilance face à ce phénomène grandissant. En 2021, le protocole Sushi Swap avait notamment été victime d’un hack de plusieurs millions de dollars suite à l’embauche de développeurs nord-coréens.