একটি সাম্প্রতিক NPM সরবরাহ চেইন আক্রমণ ক্রিপ্টো সম্প্রদায়ের মধ্যে অস্থায়ী আতঙ্ক সৃষ্টি করেছে, যা ব্যাপক তহবিল চুরির আশঙ্কা এনেছে। যদিও কেউ কেউ এই শোষণকে তুচ্ছ বলে উড়িয়ে দিয়েছেন, নিরাপত্তা বিশেষজ্ঞরা এটি ডেভেলপারদের জন্য একটি সতর্কবার্তা হিসাবে জোর দিয়েছেন।
'কোড রেড' থেকে 'নথিংবার্গার': এনপিএম শোষণ কি অতিরিক্ত মূল্যায়িত হয়েছিল?
লেখক
শেয়ার
একটি ‘তুচ্ছ বিষয়’ সতর্কবার্তাসহ
বৃহৎ-স্কেলের জাভাস্ক্রিপ্ট নোড প্যাকেজ ম্যানেজার (NPM) সরবরাহ চেইন আক্রমণের প্রাথমিক প্রতিবেদনগুলি ক্রিপ্টো সম্প্রদায়ের মধ্যে অস্থায়ী কিন্তু তীব্র আতঙ্কের সময় শুরু করে। কিছু সময়ের জন্য, ধ্বংসদর্শীরা সতর্কতাটির উপর জোর দেয়, ব্যবহারকারীর তহবিলের চুরির আশঙ্কা করে। তখন, লেজার এর CTO, চার্লস গুইলেমেট, পরামর্শ দিয়েছিলেন সফটওয়্যার ওয়ালেট ব্যবহারকারীদের অন-চেইন লেনদেন বন্ধ রাখতে এবং হার্ডওয়্যার ওয়ালেট ব্যবহারকারীদের প্রতিটি লেনদেন দ্বিগুণ চেক করতে বলেছিলেন।
তবে, যেহেতু সময় পার হয়ে গেল, আক্রমণের মাত্রা স্পষ্ট হয়ে উঠল। জানা গেল যে ক্ষতিকারক কোডটি খুবই লক্ষ করা হয়েছিল, এবং প্রভাবিত অ্যাপ্লিকেশনগুলির সংখ্যা সীমিত ছিল। Uniswap, Metamask, OKX Wallet এবং Aave এর মত প্রমুখ প্রকল্পগুলি বিবৃতি প্রকাশ করেছে তারা প্রভাবিত হয়নি বলে।
বিস্তৃত ক্ষতির অভাব দ্রুত প্রাথমিক আতঙ্ককে বিতর্কে রূপান্তরিত করে। কিছু স্বস্তি পাওয়া ক্রিপ্টো ব্যবহারকারী মূল সতর্কতার গুরুতরতা নিয়ে প্রশ্ন তুলতে শুরু করেন, কেউ কেউ এখন এটি অ্যালারমিস্ট এবং সম্ভাব্যভাবে সফটওয়্যার ওয়ালেটগুলির উপর একটি পরোক্ষ আক্রমণ হিসাবে দেখছেন। এই দৃষ্টিভঙ্গি নির্দেশ করে যে সতর্কতাটি, যদিও একটি বাস্তব দুর্বলতা নির্দেশ করে, তা সম্ভবত হার্ডওয়্যার ওয়ালেটের ব্যবহার প্রচার করার জন্য বড় করে তোলা হয়েছিল।
যদিও চুরি হওয়া ক্রিপ্টোর দ্বারা ক্ষতি কয়েকজনকে এটি একটি “তুচ্ছ বিষয়” বলে আখ্যায়িত করেছে, কিছু ব্লকচেইন নিরাপত্তা বিশেষজ্ঞরা জোর দেন যে ঘটনাটি সমস্ত সফটওয়্যার ডেভেলপারদের জন্য একটি সতর্কবার্তা হিসেবে কাজ করা উচিত। এই বিশেষজ্ঞরা একমত যে এই ঘটনা হার্ডওয়্যার ওয়ালেটের নিরাপত্তা মডেলকে বৈধতা দেয়, কিন্তু তারা সতর্ক করেন যে এমন ওয়ালেটের ব্যবহারকারীরাও অনুরূপ আক্রমণের অধীনে তহবিল হারাতে পারেন নির্দিষ্ট পরিস্থিতিতে।
Cartesi এর সহ-প্রতিষ্ঠাতা অগাস্টো টেইক্সিরা এই কথা ব্যাখ্যা করেছেন, “এমনকি হার্ডওয়্যার ওয়ালেট ব্যবহারকারীরাও এমন আক্রমণে প্রভাবিত হতে পারেন। উদাহরণস্বরূপ, কিছু লোক তাদের হার্ডওয়্যার ওয়ালেটগুলি Metamask এর সহায়তায় ব্যবহার করে, ডিভাইসের স্ক্রিনে তথ্য যাচাই না করেই। এটি আরও সাধারণ হচ্ছে কারণ লেনদেনগুলি আরও জটিল হয়ে উঠছে এবং মানুষ এগুলিকে অন্ধভাবে সাইন করছে। যাচাই করা কঠিন।”
টেইক্সিরার মতে, হার্ডওয়্যার ওয়ালেটে গুরুত্বপূর্ণ বৈশিষ্ট্য যেমন ঠিকানা বই বা JSON ABI এর সাথে ইন্টিগ্রেশন নেই, যা ব্যবহারকারীদের ডিভাইসের স্ক্রিন থেকে তারা যা সাইন করছে তা আরও ভালভাবে বোঝার সুযোগ দেয়।
উত্পাদনশীল প্রভাব এবং সেরা চর্চা
NPM ঘটনা ডেভেলপার, প্যাকেজ ম্যানেজার এবং সংস্থাগুলির ব্যবহার করা নিরাপত্তা চর্চাগুলি নিয়ে প্রশ্ন তুলেছে। কিছু ক্রিপ্টো শিল্পের লোকেরা বিশ্বাস করে যে সেরা চর্চা অনুসরণ করে — যেমন পিয়ার রিভিউ এবং অনুমোদন ছাড়া ডেভেলপারদের প্রকৃতিতে কোড পুশ করতে না দেওয়া — এমন আক্রমণের সম্ভাবনা কমানো যেতে পারে। অতিরিক্তভাবে, তারা যুক্তি দেয় ডেভেলপারদের সিস্টেম আপডেট রাখা উচিত এবং পাসওয়ার্ড পুনরায় ব্যবহার করা এড়ানো উচিত।
শাহাফ বার-গেফেন, COTI এর সহ-প্রতিষ্ঠাতা এবং CEO, বিশ্বাস করেন যে NPM এর মত প্যাকেজ ম্যানেজারদের সাইন ইন প্রক্রিয়াটি আক্রমণ করার প্রয়াসকারীর জন্য আরও কঠিন করে তোলা উচিত। তিনি যুক্তি দেন যে একটি “সমালোচনামূলক প্যাকেজ নিরাপত্তা ফ্রেমওয়ার্ক,” যেটি সম্ভবত OpenJS ফাউন্ডেশনের মত সংস্থাগুলির দ্বারা পরিচালিত হতে পারে, “মজবুত স্বীকৃতি (2FA, বিশ্বব্যাপী API টোকেন), পুনরুৎপাদনযোগ্য বিল্ড এবং এক্সিডেন্টলে উচ্চ ডাউনলোড মাঝারি বিশ্লেষণ সহ তৃতীয়-পক্ষ বার্ষিক নিরীক্ষণ ম্যান্ডেট করতে পারে।” বার-গেফেন মনে করেন এই স্তরযুক্ত যাচাই মডেল সেরা চর্চাগুলি উৎসাহিত করতে এবং ক্ষতিকর অবকাঠামো রক্ষা করতে সহায়তা করবে।
একজন (যার প্রত্যাশা থাকতে পারে) উপর নির্ভরশীল হওয়ার পরিবর্তে, যা ক্ষতিকর কার্যকলাপ প্রকাশ করতে সক্ষম হতে পারে, কার্লো ফ্র্যাগনি, Cartesi এর সলিউশন আর্কিটেক্ট, প্রকল্পগুলিকে গবেষকরা যে চ্যানেলগুলি ব্যবহার করে সেগুলিতে সক্রিয় থাকার প্র
স্তাব দেন। তিনি আরও সমর্থন করেন “নির্ভরতা বিশ্লেষণ করার সরঞ্জাম ব্যবহার করা এবং প্রতিবার একটি নির্ভরতা একটি নতুন সংস্করণে আপডেট করা হলে প্রচারের দায়িত্ব নিতে সঠিক দায়িত্ব পালন করা।”
