De la 'Cod Roșu' la 'Mult zgomot pentru nimic': A fost exagerată exploatarea NPM?

Un ‘Furtună într-un pahar cu apă’ cu un Semnal de Alarmă

Raportările inițiale ale unui atac la scară largă asupra lanțului de aprovizionare JavaScript Node Package Manager (NPM) au declanșat o perioadă scurtă, dar intensă de panică în comunitatea crypto. Timp de câteva ore, cei care prevedeau nenorociri s-au agățat de avertizare, speculând despre un furt generalizat de fonduri ale utilizatorilor. În acel moment, CTO-ul Ledger, Charles Guillemet, a sfătuit utilizatorii de portofele software să înceteze tranzacțiile on-chain și utilizatorii de portofele hardware să verifice de două ori fiecare tranzacție.

Cu toate acestea, pe măsură ce orele treceau, amploarea atacului a devenit mai clară. S-a dezvăluit că codul malițios a fost foarte țintit, iar numărul de aplicații afectate a fost limitat. Proiecte proeminente precum Uniswap, Metamask, OKX Wallet și Aave au emis declarații care confirmă că nu au fost afectate.

Lipsa pagubelor pe scară largă a transformat rapid panica inițială într-o dezbatere. Unii utilizatori crypto ușurați au început să pună la îndoială gravitatea avertismentului inițial, unii considerând acum că a fost alarmist și poate chiar un atac indirect asupra portofelelor software. Această perspectivă sugerează că avertismentul, deși a evidențiat o vulnerabilitate autentică, ar fi putut fi exagerat pentru a promova utilizarea portofelelor hardware.

În timp ce daunele în termeni de criptomonede furate au condus pe unii să catalogheze exploatarea ca un “furtună într-un pahar cu apă”, unii experți în securitate blockchain insistă că incidentul ar trebui să servească drept semnal de alarmă pentru toți dezvoltatorii de software. Acești experți sunt de acord că incidentul validează modelul de securitate al portofelelor hardware, dar avertizează, de asemenea, că utilizatorii acestor portofele ar putea încă pierde fonduri într-un atac similar în anumite circumstanțe.

Augusto Teixeira, un co-fondator la Cartesi, a ilustrat acest punct, afirmând, “Chiar și utilizatorii de portofele hardware ar putea fi afectați de astfel de atacuri. De exemplu, mai multe persoane își folosesc portofelele hardware cu ajutorul Metamask, fără a verifica datele pe ecranul dispozitivului. Acest lucru devine mai comun pe măsură ce tranzacțiile devin mai elaborate și oamenii le semnează orb. Verificarea este dificilă.”

Conform lui Teixeira, portofelele hardware lipsesc funcții importante precum agendele de adrese sau integrarea cu JSON ABI, care le-ar permite utilizatorilor să înțeleagă mai bine ce semnează de pe ecranul dispozitivului.

Implicații la Nivel de Industrie și Cele Mai Bune Practici

Incidentul NPM a pus sub semnul întrebării practicile de securitate utilizate de dezvoltatori, managerii de pachete și organizații. Unii din industria crypto cred că urmarea celor mai bune practici—cum ar fi revizuirea de către colegi și nepermiterea dezvoltatorilor să împingă codul în producție fără aprobare—poate minimiza probabilitatea unui astfel de atac. În plus, ei susțin că dezvoltatorii ar trebui să mențină sistemele actualizate și să evite reutilizarea parolelor.

Shahaf Bar-Geffen, co-fondator și CEO la COTI, crede că managerii de pachete precum NPM ar trebui să facă procesul de autentificare mai dificil pentru un potențial atacator. El argumentează că un “Cadru de Securitate pentru Pachete Critice,” supravegheat potențial de organizații precum OpenJS Foundation, “ar putea impune autentificare puternică (2FA, token-uri API delimitate), build-uri reproductibile și audituri anuale de către terți pentru pachetele care depășesc praguri ridicate de descărcări.” Bar-Geffen crede că acest model de verificare pe niveluri ar ajuta la incentivarea celor mai bune practici în timp ce protejează infrastructura critică.

Pentru a evita să se bazeze pe o singură persoană (care poate avea interese personale) pentru a expune activitatea malițioasă, Carlo Fragni, Architect de Soluții la Cartesi, încurajează proiectele să rămână la curent cu canalele folosite de cercetători. El pledează, de asemenea, pentru “utilizarea instrumentelor de analiză a dependenței și efectuarea de diligență necesară asupra fiecărei dependențe ori de câte ori aceasta este actualizată la o nouă versiune.”