Dari 'Kod Merah' ke 'Nothingburger': Adakah Eksploitasi NPM Dilebih-lebihkan?

Satu ‘Nothingburger’ Dengan Panggilan Kesedaran

Laporan awal mengenai serangan rantai bekalan JavaScript Node Package Manager (NPM) berskala besar mencetuskan tempoh panik singkat tetapi sengit dalam komuniti kripto. Selama beberapa jam, pelaku menyebar amaran, membuat spekulasi mengenai pencurian dana pengguna yang meluas. Pada masa itu, CTO Ledger, Charles Guillemet, menasihatkan pengguna dompet perisian untuk menghentikan transaksi on-chain dan pengguna dompet perkakasan untuk memeriksa semula setiap transaksi.

Walau bagaimanapun, apabila jam berlalu, saiz serangan itu menjadi lebih jelas. Ia didedahkan bahawa kod jahat itu sangat disasarkan, dan bilangan aplikasi yang terkesan adalah terhad. Projek-projek terkemuka seperti Uniswap, Metamask, OKX Wallet dan Aave semua mengeluarkan kenyataan mengesahkan mereka tidak terkesan.

Kekurangan kerosakan yang meluas dengan cepat mengubah panik awal menjadi perdebatan. Beberapa pengguna kripto yang lega mula mempersoalkan tahap serius amaran asal, dengan sesetengahnya kini melihatnya sebagai alarmis dan mungkin sebagai serangan tidak langsung terhadap dompet perisian. Perspektif ini mencadangkan bahawa amaran tersebut, walaupun menyoroti kelemahan sebenar, mungkin telah dibesar-besarkan untuk mempromosikan penggunaan dompet perkakasan.

Walaupun kerosakan dari segi kripto yang dicuri telah menyebabkan sesetengah pihak melabelkan eksploitasi itu sebagai “nothingburger,” beberapa pakar keselamatan blockchain menegaskan insiden ini harus menjadi panggilan kesedaran kepada semua pembangun perisian. Pakar-pakar ini bersetuju bahawa insiden ini mengesahkan model keselamatan dompet perkakasan, tetapi mereka juga memberi amaran bahawa pengguna dompet tersebut masih boleh kehilangan dana kepada serangan serupa di bawah keadaan tertentu.

Augusto Teixeira, pengasas bersama di Cartesi, menggambarkan poin ini, mengatakan, “Malah pengguna dompet perkakasan boleh terkesan oleh serangan sedemikian. Sebagai contoh, beberapa orang menggunakan dompet perkakasan mereka dengan bantuan Metamask, tanpa mengesahkan data pada skrin peranti. Ini menjadi lebih biasa apabila transaksi menjadi lebih rumit dan orang menandatangani secara buta. Pengesahan adalah sukar.”

Menurut Teixeira, dompet perkakasan kekurangan ciri penting seperti buku alamat atau integrasi dengan JSON ABI, yang membolehkan pengguna lebih memahami apa yang mereka menandatangani dari skrin peranti.

Implikasi Industri dan Amalan Terbaik

Insiden NPM ini telah mempersoalkan amalan keselamatan yang digunakan oleh pembangun, pengurus pakej, dan organisasi. Sesetengah dalam industri kripto percaya bahawa mengikuti amalan terbaik—seperti semakan rakan sebaya dan tidak membenarkan pembangun memuat naik kod ke pengeluaran tanpa kelulusan—boleh meminimalkan kemungkinan serangan sedemikian. Di samping itu, mereka berpendapat pembangun harus memastikan sistem sentiasa dikemas kini dan mengelakkan penggunaan kata laluan yang sama.

Shahaf Bar-Geffen, pengasas bersama dan CEO di COTI, percaya bahawa pengurus pakej seperti NPM harus membuat proses log masuk lebih sukar bagi penyerang yang berpotensi. Dia berhujah bahawa “Kerangka Keselamatan Pakej Kritikal,” yang berpotensi diawasi oleh badan seperti OpenJS Foundation, “boleh mengamanatkan pengesahan kuat (2FA, token API berskala), binaan yang boleh dihasilkan semula, dan audit pihak ketiga tahunan untuk pakej yang melebihi ambang muat turun tinggi.” Bar-Geffen percaya model pengesahan bertingkat ini akan membantu mendorong amalan terbaik sambil melindungi infrastruktur kritikal.

Untuk mengelak daripada perlu bergantung kepada individu yang mungkin mempunyai kepentingan tertentu untuk mendedahkan aktiviti jahat, Carlo Fragni, Arkitek Penyelesaian di Cartesi, menggalakkan projek untuk sentiasa mendengar saluran yang digunakan oleh penyelidik. Dia juga menganjurkan untuk “menggunakan alat analisis kebergantungan dan melaksanakan uji kaji sewajarnya pada setiap ketergantungan apabila ia dikemas kini ke versi baru.”