L’écosystème Cosmos est secoué par une affaire aux implications inquiétantes. Selon une enquête menée par le site Coindesk, le module de liquid staking (LSM), un élément central de l’infrastructure de Cosmos, aurait été en partie développé par des agents nord-coréens. Cette potentielle infiltration soulève de sérieuses questions quant à la sécurité et l’intégrité du réseau.
Une porte dérobée dans le cœur de Cosmos ?
Le Liquid Staking Module permet aux utilisateurs de participer au staking, tout en conservant la liquidité de leurs tokens grâce à un mécanisme de tokenisation des dépôts. Intégré directement au module de staking existant, le LSM était vu comme un moyen de renforcer l’efficacité et l’expérience utilisateur sur Cosmos.
Mais en août 2021, lorsque Zaki Manian et son équipe d’Iqlusion débutent le développement, ils sont accompagnés de deux développeurs aujourd’hui soupçonnés d’être des agents nord-coréens : Jun Kai et Sarawut Sanit. Ce qui était alors considéré comme un projet prometteur pourrait en réalité se révéler être un cheval de Troie au cœur de l’écosystème.
Le FBI met en garde, mais l’alerte n’est pas relayée
Le point de bascule intervient en mars 2023, quand le FBI informe Zaki Manian des liens de Kai et Sanit avec la Corée du Nord. Pourtant, malgré ces révélations, aucune alerte n’est donnée publiquement, et le LSM est présenté comme “prêt à être déployé” quelques mois plus tard.
C’est finalement Jae Kwon, cofondateur de Cosmos, qui tire la sonnette d’alarme dans un post publié le 15 octobre sur le dépôt GitHub du projet. Il y dénonce le laxisme de Zaki Manian et d’Iqlusion dans la gestion de cette crise, et appelle à un audit complet du module.
Des risques critiques pour tout l’écosystème
Les enjeux sont de taille. Toute vulnérabilité dans le LSM pourrait en effet se répercuter à l’ensemble de Cosmos, puisque le module est intégré au cœur du staking. C’est potentiellement la sécurité de tous les ATOM en staking qui est menacée.
Les problèmes soulevés par cette affaire sont multiples :
- Une grande partie du code du LSM, y compris des éléments critiques, a été écrit par les développeurs suspects sans véritable supervision.
- Malgré l’identification de failles critiques lors d’un audit en 2022, ce sont ces mêmes développeurs qui ont été chargés de les corriger.
- Aucune communication publique n’a été faite après les révélations du FBI, laissant les utilisateurs dans l’ignorance du danger.
Au delà d’un simple problème de sécurité, c’est toute la question de la gouvernance décentralisée et de sa résistance aux acteurs malveillants qui est posée. Les processus actuels de Cosmos ont permis de ratifier et déployer du code non audité sur une partie critique de l’infrastructure.
Quelles solutions pour renforcer la sécurité ?
Face à cette menace, Jae Kwon appelle à des actions immédiates. La première étape est un audit complet et indépendant du module LSM afin d’identifier d’éventuelles vulnérabilités ou backdoors introduites par les développeurs malveillants.
Mais au delà, c’est un renforcement global des procédures de sécurité et de validation des contributions qui semble nécessaire. Kwon évoque notamment la mise en place d’une liste noire des développeurs et entités compromettant la sécurité.
Il est également crucial que les autres blockchains, notamment Ethereum et ses projets de liquid staking, tirent les leçons de cette affaire et redoublent de vigilance. La menace d’une infiltration par des acteurs étatiques est réelle et peut avoir des conséquences désastreuses comme l’a montré le hack de Sushi Swap en 2021.
L’affaire du LSM de Cosmos doit servir d’électrochoc à l’ensemble de l’industrie. La décentralisation ne doit pas se faire au détriment de la sécurité et de la transparence. C’est un équilibre délicat à trouver, mais essentiel pour assurer l’intégrité et la pérennité de notre écosystème.