Egy nemrégiben történt NPM-ellátási lánc támadás rövid pánikot keltett a kriptoközösségben, attól tartva, hogy széles körű pénzlopás következik be. Bár egyesek csekély jelentőségűnek tartották a kihasználást, a biztonsági szakértők figyelmeztető jelként hangsúlyozták azt a fejlesztők számára.
A „Piros kód”-tól a „Semmisültig”: Túl lett-e lihegve az NPM kihasználás?
Egy ‘semmitmondó’ eset figyelmeztetéssel
A nagyszabású JavaScript Node Package Manager (NPM) ellátási lánc támadás első hírei rövid, de intenzív pánikot váltottak ki a kriptoközösségben. Néhány órán keresztül a vészmadarak a figyelmeztetésre támaszkodtak, spekulálva a felhasználói pénzeszközök széles körű ellopásáról. Abban az időben a Ledger CTO-ja, Charles Guillemet, tanácsolta a szoftvertárca felhasználóknak, hogy hagyják abba a láncon kívüli tranzakciókat, a hardvertárca felhasználóknak pedig, hogy minden tranzakciót kétszer ellenőrizzenek.
Viszont ahogy teltek az órák, a támadás mértéke egyértelművé vált. Kiderült, hogy a rosszindulatú kód nagyon célspecifikus volt, és az érintett alkalmazások száma korlátozott volt. Kiemelkedő projektek, mint például a Uniswap, Metamask, OKX Wallet és Aave mind kiadták a közleményeiket, amelyek megerősítették, hogy nem érintettek.
A széles körű károk hiánya gyorsan vitává alakította az eredeti pánikot. Néhány megkönnyebbült kriptóhasználó elkezdte megkérdőjelezni az eredeti figyelmeztetés súlyosságát, mivel néhányan mostanra túlzónak és potenciálisan még a szoftvertárcák közvetett támadásának is tartják. Ez a nézőpont azt sugallja, hogy a figyelmeztetés, miközben valódi sebezhetőséget emelt ki, túlzottan hangsúlyozta a hardvertárcák használatának előnyben részesítését.
Míg a lopott kriptó szempontjából mért károk miatt néhányan azt állítják, hogy a kihasználást „semmitmondónak” nevezik, néhány blokklánc biztonsági szakértő kitart amellett, hogy az eset figyelmeztetést jelentsen minden szoftverfejlesztő számára. Ezek a szakértők egyetértenek abban, hogy az incidens igazolja a hardvertárcák biztonsági modelljét, de figyelmeztetnek arra is, hogy az ilyen tárcák felhasználói is elveszíthetik pénzeszközeiket egy hasonló támadás esetén bizonyos körülmények között.
Augusto Teixeira, a Cartesi társalapítója, ezt az álláspontot szemléltetve kifejtette: „Még a hardvertárca használók is érintettek lehetnek ilyen támadásokban. Például, több ember használja a hardvertárcáikat a Metamask segítségével, anélkül hogy ellenőriznék az adatokat az eszköz képernyőjén. Ez egyre gyakoribb, mivel a tranzakciók bonyolultabbá válnak, és az emberek vakon írják alá őket. Az ellenőrzés nehéz.”
Teixeira szerint a hardvertárcákból hiányoznak olyan fontos funkciók, mint a címjegyzékek vagy a JSON ABI integráció, amely lehetővé tenné a felhasználók számára, hogy jobban megértsék, mit írnak alá az eszköz képernyőjéről.
Iparági hatások és legjobb gyakorlatok
Az NPM incidens kétségbe vonja azon biztonsági gyakorlatokat, amelyeket fejlesztők, csomagkezelők és szervezetek alkalmaznak. Néhányan a kriptóiparban úgy vélik, hogy a legjobb gyakorlatok betartása – mint például a kollegiális átvizsgálás és a fejlesztőknek a termelési kódhoz való hozzáférés megakadályozása jóváhagyás nélkül – minimalizálhatja egy ilyen támadás valószínűségét. Emellett azt is javasolják, hogy a fejlesztők tartsák naprakészen a rendszereiket és kerüljék a jelszavak újrafelhasználását.
Shahaf Bar-Geffen, a COTI társalapítója és vezérigazgatója úgy véli, hogy a csomagkezelőknek, mint az NPM, nehezebbé kellene tenniük a bejelentkezési folyamatot egy potenciális támadó számára. Az „Kritikus Csomagbiztonsági Keretrendszer”, amelyet az OpenJS Foundation-hez hasonló testületek felügyelnének, „kötelezhetné az erős hitelesítést (2FA, hatókörrel rendelkező API-tokó), reprodukálható build-eket, és évi külső auditokat csomagok esetén, amelyek meghaladják a magas letöltési küszöböket.” Bar-Geffen úgy véli, hogy ez a többszintű ellenőrzési modell ösztönözhetné a legjobb gyakorlatokat, miközben megvédi a kritikus infrastruktúrát.
Azért, hogy ne kelljen egyetlen személyre (aki esetleg érdekelt lehet) majd’ támaszkodni a rosszindulatú tevékenységek leleplezésében, Carlo Fragni, a Cartesi megoldási építésze arra ösztönzi a projekteket, hogy kövessék a kutatók által használt csatornákat. Ő is támogatja „a függőségelemző eszközök használatát és a kutatást minden függőségen, amikor azok új verzióra frissülnek.”
