De 'Código Vermelho' a 'Tempestade em Copo d'Água': foi o Exploit NPM Exagerado?

Um Alerta em Meio a uma “Tempestade em Copo d’Água”

Relatórios iniciais de um ataque em grande escala à cadeia de suprimentos do JavaScript Node Package Manager (NPM) desencadearam um período breve, mas intenso, de pânico na comunidade cripto. Por algumas horas, pessimistas agarraram-se ao aviso, especulando sobre um roubo generalizado de fundos de usuários. Na época, o CTO da Ledger, Charles Guillemet, aconselhou os usuários de carteiras de software a cessarem as transações na cadeia e os usuários de carteiras de hardware a verificarem cada transação.

No entanto, com o passar das horas, a magnitude do ataque ficou mais clara. Foi revelado que o código malicioso era altamente direcionado, e o número de aplicativos afetados era limitado. Projetos proeminentes como Uniswap, Metamask, OKX Wallet e Aave todos lançaram declarações confirmando que não foram afetados.

A ausência de danos generalizados rapidamente transformou o pânico inicial em um debate. Alguns usuários de cripto aliviados começaram a questionar a gravidade do aviso original, com alguns agora vendo-o como alarmista e potencialmente até um ataque indireto às carteiras de software. Essa perspectiva sugere que o aviso, embora destacando uma vulnerabilidade genuína, pode ter sido exagerado para promover o uso de carteiras de hardware.

Embora os danos em termos de criptografia roubada tenham levado alguns a rotular a exploração como uma “tempestade em copo d’água,” alguns especialistas em segurança blockchain insistem que o incidente deve servir como um alerta para todos os desenvolvedores de software. Esses especialistas concordam que o incidente valida o modelo de segurança das carteiras de hardware, mas também alertam que usuários de tais carteiras ainda poderiam perder fundos para um ataque similar em certas circunstâncias.

Augusto Teixeira, cofundador da Cartesi, ilustrou esse ponto, afirmando: “Até mesmo usuários de carteiras de hardware poderiam ser afetados por tais ataques. Por exemplo, várias pessoas usam suas carteiras de hardware com a ajuda do Metamask, sem verificar os dados na tela do dispositivo. Isso está se tornando mais comum à medida que as transações se tornam mais elaboradas e as pessoas as assinam cegamente. A verificação é difícil.”

De acordo com Teixeira, as carteiras de hardware carecem de recursos importantes como agendas de endereços ou integração com JSON ABI’s, o que permitiria aos usuários entender melhor o que estão assinando na tela do dispositivo.

Implicações para a Indústria e Melhores Práticas

O incidente do NPM colocou em questão as práticas de segurança utilizadas por desenvolvedores, gerenciadores de pacotes e organizações. Alguns na indústria cripto acreditam que seguir melhores práticas—como revisão por pares e não permitir que desenvolvedores publiquem código em produção sem aprovação—pode minimizar a probabilidade de tais ataques. Além disso, eles argumentam que os desenvolvedores devem manter os sistemas atualizados e evitar reutilizar senhas.

Shahaf Bar-Geffen, cofundador e CEO da COTI, acredita que gerenciadores de pacotes como o NPM deveriam tornar o processo de login mais difícil para um possível atacante. Ele argumenta que uma “Estrutura de Segurança de Pacotes Críticos,” potencialmente supervisionada por órgãos como a OpenJS Foundation, “poderia exigir autenticação forte (2FA, tokens de API com escopo), builds reproduzíveis e auditorias anuais de terceiros para pacotes com altos índices de download.” Bar-Geffen acredita que esse modelo de verificação em camadas ajudaria a incentivar as melhores práticas enquanto protege infraestrutura crítica.

Para evitar ter que depender de uma única pessoa (que pode ter interesses próprios) para expor atividades maliciosas, Carlo Fragni, Arquiteto de Soluções na Cartesi, incentiva os projetos a ficarem atentos aos canais usados por pesquisadores. Ele também defende o “uso de ferramentas de análise de dependências e a realização de due diligence em cada dependência sempre que for atualizada para uma nova versão.”