Ó 'Cód Dearg' go 'Nothingburger': An raibh an Leas Exploit NPM Ró-ardaithe?

‘Rud Ar Bheagán’ Le Glao Múscailte

Spreag tuairiscí tosaigh ar ionsaí slabhra soláthair JavaScript Node Package Manager (NPM) ar scála mór tréimhse phanacha ghearr ach dian laistigh de phobal na cripte. Ar feadh cúpla uair an chloig, ghabh lucht tubaiste ar an rabhadh, ag tuairimíocht faoi ghoid forleathan cistí úsáideoirí. Ag an am, CTO Ledger, Charles Guillemet, mhol d’úsáideoirí sparán bogearraí stop a chur le hidirbhearta ar an slabhra agus d’úsáideoirí sparán crua-earraí seiceáil dhúbailte a dhéanamh ar gach idirbheart.

Mar sin féin, nuair a chuaigh na huaireanta thart, tháinig méid an ionsaí níos soiléire. Nochtadh gur dírithe go mór a bhí an cód mailíseach, agus go raibh líon teoranta feidhmchlár i gceist. Scaoil tionscnaimh mhóra cosúil le Uniswap, Metamask, OKX Wallet agus Aave ráitis ag dearbhú nach raibh siad buailte.

D’athraigh an easpa damáiste forleathan an phanacha tosaigh go tapa ina díospóireacht. Thosaigh roinnt úsáideoirí cripte faochaithe ceist a ardú faoi thromchúis an rabhaidh bhunaidh, agus tá roinnt acu anois á fheiceáil mar rabhaidh áibhéalacha agus féadfaidh sé fiú a bheith mar ionsaí indíreach ar sparán bogearraí. Tugann an peirspictíocht seo le tuiscint gur léirigh an rabhadh leochaileacht fhíor, ach féadfaidh sé a bheith áibhéalach chun an úsáid a bhaint as sparán crua-earraí a chur chun cinn.

Cé gur leis an damáiste ó thaobh cripte goidte téann cuid acu an leasú mar “rud ar bheagán,” dearbhaíonn roinnt saineolaithe slándála blocshlabhra gur chóir don eachtra géilleadh mar ghlao múscailte do gach forbróir bogearraí. Aontaíonn na saineolaithe seo go ndéanann an eachtra an tsamhail slándála de sparán crua-earraí a bhailiú, ach tugann siad foláireamh freisin gur féidir le húsáideoirí de na sparáin sin cistí a chailleadh fós i dionsaí den chineál céanna faoi choinníollacha áirithe.

Chomhaontaigh Augusto Teixeira, comhbhunaitheoir ag Cartesi, an pointe seo, á rá, “D’fhéadfadh go mbeadh tionchar ag dionsaithe den chineál céanna ar úsáideoirí sparán crua-earraí. Mar shampla, úsáidíonn roinnt daoine a gcuid sparán crua-earraí le cabhair Metamask, gan an sonraíocht a dheimhniú ar an scáileán gléas. Tá sé seo ag éirí níos coitianta agus daoine ag déanamh idirbhearta níos sofaisticiúla agus iad á ngearráil i dall. Tá deacracht ag baint leis an deimhin.”

De réir Teixeira, níl gnéithe tábhachtacha mar leabhair seoltaí ag sparán crua-earraí nó comhtháthú le JSON ABI’s, a ligfeadh d’úsáideoirí tuiscint níos fearr a fháil ar a bhfuil siad ag síniú ó scáileán an ghléis.

Tionchar an Tionscail agus na gCleachtas is Fearr

Chuir an eachtra NPM faoi cheist cleachtais slándála a úsáideann forbróirí, bainisteoirí pacáiste, agus eagraíochtaí. Creideann cuid sa tionscal cripte gur féidir an dóchúlacht de ionsaí den sórt sin a íoslaghdú trí ghnáthchleachtais a leanúint – mar athbhreithniú piaraí agus gan ligean d’fhorbróirí cód a bhrú chun táirgeadh gan ceadú. Ina theannta sin, argóint siad gur chóir d’fhorbróirí córais a choinneáil cothrom le dáta agus pasfhocail neamhúsáidte a sheachaint.

Creideann Shahaf Bar-Geffen, comhbhunaitheoir agus CEO ag COTI, gur chóir do bhainisteoirí pacáiste cosúil le NPM an próiseas logála isteach a dhéanamh níos deacra do ionsaitheoir ionchasach. Maíonn sé gur “Creat Slándála Pacáiste Criticiúil,” b’fhéidir faoi mhaoirseacht ag comhlachtaí cosúil le Fondúireacht OpenJS, “a d’fhéadfadh fhorordú fíordheimhniú láidir (2FA, comhaid API scóipithe), tóganna in-atáirgthe, agus iniúchtaí tríú páirtí bliantúla do phacáistí a sháraíonn tairseacha ard-íoslódála.” Creideann Bar-Geffen go gcabhródh an tsamhail dílseánaigh tánaisteach seo le cleachtais is fearr a spreagadh agus le bonneagar criticiúil a chosaint.

Chun gan a bheith ag brath ar dhuine aonair (a d’fhéadfadh leasanna loma a bheith acu) chun gníomhaíocht mailíseach a nochtadh, spreagann Carlo Fragni, Ailtire Réitigh ag Cartesi, tionscnaimh chun fanacht gníomhach ar chainéil a úsáidtear ag taighdeoirí. Molann sé freisin “úsáid uirlisí anailíse spleáchais agus seiceálacha a dhéanamh ar gach spleáchas aon uair a ndéantar é a nuashonrú go leagan nua.”