Ein kürzlicher NPM Supply-Chain-Angriff löste kurzzeitig Panik in der Krypto-Community aus und schürte Ängste vor einem weit verbreiteten Diebstahl von Geldern. Während einige das Exploit als geringfügig abtaten, betonten Sicherheitsexperten, dass es für Entwickler ein Weckruf sein sollte.
Von 'Code Red' zu 'Nothingburger': War der NPM-Ausnutzungsangriff überbewertet?
GESCHRIEBEN VON
TEILEN
Ein ‘Nichtsburger’ mit einem Weckruf
Erste Berichte über einen groß angelegten Angriff auf den JavaScript Node Package Manager (NPM) führten zu einer kurzen, aber intensiven Panik innerhalb der Krypto-Community. Für einige Stunden nutzten Schwarzmaler die Warnung aus und spekulierten über einen weit verbreiteten Diebstahl von Nutzerfonds. Zu dieser Zeit empfahl Ledger-CTO, Charles Guillemet, Nutzern von Software-Wallets, On-Chain-Transaktionen einzustellen und Hardware-Wallet-Nutzern, jede Transaktion doppelt zu überprüfen.
Mit der Zeit wurde jedoch das Ausmaß des Angriffs klarer. Es stellte sich heraus, dass der bösartige Code sehr gezielt war und die Anzahl betroffener Anwendungen begrenzt war. Prominente Projekte wie Uniswap, Metamask, OKX Wallet und Aave veröffentlichten Mitteilungen, in denen sie bestätigten, dass sie nicht betroffen waren.
Das Fehlen eines weitverbreiteten Schadens verwandelte die anfängliche Panik schnell in eine Debatte. Einige erleichterte Krypto-Nutzer begannen, die Ernsthaftigkeit der ursprünglichen Warnung zu hinterfragen, und einige betrachten sie nun als alarmierend und möglicherweise sogar als indirekten Angriff auf Software-Wallets. Diese Perspektive legt nahe, dass die Warnung, während sie eine echte Schwachstelle beleuchtet, möglicherweise übertrieben wurde, um die Nutzung von Hardware-Wallets zu fördern.
Obwohl der Schaden in Bezug auf gestohlene Kryptowährungen einige dazu veranlasste, das Exploit als “Nichtsburger” zu bezeichnen, bestehen einige Blockchain-Sicherheitsexperten darauf, dass der Vorfall als Weckruf für alle Softwareentwickler dienen sollte. Diese Experten stimmen zu, dass der Vorfall das Sicherheitsmodell von Hardware-Wallets bestätigt, warnen jedoch auch davor, dass Nutzer solcher Wallets unter bestimmten Umständen trotzdem Geld durch einen ähnlichen Angriff verlieren könnten.
Augusto Teixeira, Mitbegründer von Cartesi, verdeutlichte diesen Punkt und sagte: “Auch Hardware-Wallet-Nutzer könnten von solchen Angriffen betroffen sein. Zum Beispiel verwenden mehrere Personen ihre Hardware-Wallets mit der Hilfe von Metamask, ohne die Daten auf dem Bildschirm des Geräts zu überprüfen. Dies wird immer häufiger, da Transaktionen immer komplexer werden und Menschen sie blind unterschreiben. Verifizierung ist schwierig.”
Laut Teixeira fehlen Hardware-Wallets wichtige Funktionen wie Adressbücher oder die Integration mit JSON-ABI’s, die es den Nutzern ermöglichen würden, besser zu verstehen, was sie auf dem Bildschirm des Geräts unterschreiben.
Branchenweite Implikationen und Best Practices
Der NPM-Vorfall hat die Sicherheitspraktiken von Entwicklern, Paketmanagern und Organisationen in Frage gestellt. Einige in der Kryptoindustrie glauben, dass durch das Befolgen von Best Practices—wie Peer-Review und die Vermeidung, Entwickler ohne Genehmigung Code in die Produktion schieben zu lassen—die Wahrscheinlichkeit eines solchen Angriffs minimiert werden kann. Darüber hinaus argumentieren sie, dass Entwickler Systeme aktuell halten und die Wiederverwendung von Passwörtern vermeiden sollten.
Shahaf Bar-Geffen, Mitbegründer und CEO von COTI, glaubt, dass Paketmanager wie NPM den Anmeldeprozess für potenzielle Angreifer erschweren sollten. Er argumentiert, dass ein “Critical Package Security Framework”, das möglicherweise von Institutionen wie der OpenJS Foundation überwacht wird, “starke Authentifizierung (2FA, begrenzte API Tokens), reproduzierbare Builds und jährliche Drittparteien-Audits für Pakete, die hohe Download-Schwellen überschreiten, vorschreiben könnte.” Bar-Geffen glaubt, dass dieses gestufte Verifikationsmodell helfen würde, Best Practices zu fördern und zugleich kritische Infrastrukturen zu schützen.
Um nicht auf eine einzige Person angewiesen zu sein (die möglicherweise Eigeninteressen hat), um bösartige Aktivitäten aufzudecken, ermutigt Carlo Fragni, Lösungsarchitekt bei Cartesi, Projekte, auf die von Forschern genutzten Kanäle zu achten. Er plädiert auch dafür, “Toolings zur Abhängigkeitsanalyse zu verwenden und jedes Mal, wenn eine Abhängigkeit auf eine neue Version aktualisiert wird, eine Due Diligence durchzuführen.”
