מתקפת שרשרת האספקה האחרונה של NPM גרמה לפאניקה קצרה בקהילת הקריפטו, והעלתה חששות לגניבת כספים נרחבת. בעוד שחלק התייחסו לניצול כקטן, מומחי אבטחה הדגישו זאת כקריאת השכמה למפתחים.
מ'קוד אדום' ל'סערה בכוס תה': האם הניצול ב-NPM היה מנופח יתר על המידה?
נכתב ע"י
שתף
‘כלום’ עם קריאת השכמה
דיווחים ראשוניים על מתקפת שרשרת אספקה גדולה ב-JavaScript Node Package Manager (NPM) גרמו לתקופה קצרה אך אינטנסיבית של פאניקה בקהילת הקריפטו. במשך כמה שעות, הדואגים אחזו באזהרה, והשערו על גניבת כספים נרחבת של משתמשים. בזמן הזה, CTO של Ledger, שארל גיומה, המליץ למשתמשי ארנק תוכנה להפסיק פעולות בשרשרת ולמשתמשי ארנקים חומרתיים לבדוק עיסקות באופן כפול.
ואולם, כשחלפו השעות, גודל המתקפה הפך לברור יותר. התגלה שהקוד הזדוני היה ממוקד מאוד, ומספר האפליקציות שהושפעו היה מוגבל. פרויקטים בולטים כמו Uniswap, Metamask, OKX Wallet ו-Aave פרסמו הצהרות שמאשרות שלא הושפעו.
היעדר הנזק הנרחב הפך במהירות את הפאניקה הראשונית לוויכוח. חלק מהמשתמשים המוטרדים בקהילת הקריפטו החלו לפקפק בחומרת האזהרה המקורית, כאשר חלקם רואים בה כמעוררת דאגה ואולי אפילו מתקפה עקיפה על ארנקי תוכנה. פרספקטיבה זו מציעה שהאזהרה, למרות שהיא מדגישה חולשה אמיתית, יכולה להיות מוגזמת לקידום השימוש בארנקים חומרתיים.
למרות הנזק במונחים של קריפטו שנגנב גרם לכך שחלקם מיתגו את הניצול כ”כלום”, כמה מומחי אבטחה בבלוקצ’יין מתעקשים שהמקרה צריך לשמש כקריאת השכמה לכל מפתחי התוכנה. מומחים אלו מסכימים שהמקרה מאמת את מודל האבטחה של ארנקים חומרתיים, אבל הם גם מזהירים שמשתמשי ארנקים אלו עדיין עלולים לאבד כספים למתקפה דומה בתנאים מסוימים.
אוגוסטו טיישירה, מייסד משותף ב-Cartesi, המחיש נקודה זו באומרו, “אפילו משתמשי ארנקים חומרתיים יכולים להיות מושפעים ממתקפות כאלו. למשל, כמה אנשים משתמשים בארנקים החומרתיים שלהם בעזרת Metamask, מבלי לאמת את הנתונים על מסך המכשיר. זה הופך לנפוץ יותר כאשר עיסקות הופכות להיות מורכבות ואנשים חותמים עליהן בעיניים עצומות. האימות קשה.”
לפי טיישירה, ארנקים חומרתיים חסרים תכונות חשובות כמו ספרי כתובות או אינטגרציה עם JSON ABI, שיאפשרו למשתמשים להבין טוב יותר על מה הם חותמים מהמסך של המכשיר.
השלכות תעשייתיות ונהלים מיטביים
המקרה של NPM הביא להטלת ספק בנהלי האבטחה הנמצאים בשימוש על ידי מפתחים, מנהלי חבילות וארגונים. חלק בתעשיית הקריפטו מאמינים כי שמירה על נהלים מיטביים—כגון ביקורת עמיתים ואי מתן אפשרות למפתחים לדחוף קוד לייצור ללא אישור—יכולים למזער את הסיכוי למתקפה כזו. בנוסף, הם טוענים שמפתחים צריכים לשמור על מערכות מעודכנות ולהימנע משימוש חוזר בסיסמאות.
שחף בר-גפן, מייסד משותף ומנכ”ל ב-COTI, מאמין כי מנהלי חבילות כמו NPM צריכים להקשות על תהליך הכניסה למי שבכוונתם לתקוף. הוא טוען ש”מסגרת אבטחת חבילות קריטית,” שיכולה להיות תחת פיקוח גופים כמו קרן OpenJS, “תוכל לחייב אימות חזק (2FA, אסימוני API מוגדרים), בניות שניתנות לשחזור וביקורות צד שלישי שנתיות עבור חבילות שסף ההורדה שלהם גבוה.” בר-גפן מאמין שמודל אימות מרובד זה יעזור לתמרץ נהלים מיטביים תוך הגנה על תשתיות קריטיות.
כדי להימנע מצורך להסתמך על אדם יחיד (שעשוי להיות בעל אינטרסים אישיים) לחשיפת פעילות זדונית, קרלו פראגני, אדריכל פתרונות ב-Cartesi, מעודד פרויקטים להישאר מעודכנים לערוצים שבהם חוקרים משתמשים. בנוסף, הוא תומך ב”שימוש בכלי ניתוח תלות וביצוע בדיקת נאותות על כל תלות כל פעם שהוא מעודכן לגרסה חדשה.”
