Od 'Code Red' k 'Nothingburger': Bol NPM Exploit Prehnane Zveličený?

“Nothingburger” s varovaním

Počiatočné správy o rozsiahlym útoku na dodávateľský reťazec JavaScript Node Package Manager (NPM) vyvolali krátke, ale intenzívne obdobie paniky v kryptokomunite. Na niekoľko hodín sa vyvolávači paniky chopili varovania, špekulujúc o širokom rozšírení krádeže používateľských prostriedkov. V tom čase CTO spoločnosti Ledger, Charles Guillemet, radil používateľom softvérových peňaženiek, aby zastavili transakcie na reťazi a používateľom hardvérových peňaženiek, aby si dvakrát skontrolovali každú transakciu.

Ako však hodiny ubiehali, rozsah útoku sa stal jasnejším. Bolo zistené, že škodlivý kód bol veľmi cielený a počet ovplyvnených aplikácií bol obmedzený. Významné projekty ako Uniswap, Metamask, OKX Wallet a Aave všetky vydali vyhlásenia potvrdzujúce, že neboli zasiahnuté.

Nedostatok rozsiahlych škôd rýchlo zmenil počiatočnú paniku na debatu. Niektorí uľavení kryptopoužívatelia začali spochybňovať závažnosť pôvodného varovania, pričom niektorí ho teraz vnímajú ako alarmistický a potenciálne dokonca ako nepriamy útok na softvérové peňaženky. Tento pohľad naznačuje, že varovanie, hoci zdôrazňuje skutočnú zraniteľnosť, mohlo byť preceňované na podporu použitia hardvérových peňaženiek.

Zatiaľ čo škody v zmysle ukradnutých krypto prostriedkov viedli niektorých k označeniu útoku ako “nothingburger,” niektorí experti na bezpečnosť blockchainu trvajú na tom, že incident by mal slúžiť ako varovanie pre všetkých vývojárov softvéru. Títo experti sa zhodujú, že incident potvrdzuje bezpečnostný model hardvérových peňaženiek, ale tiež varujú, že používatelia takýchto peňaženiek by mohli stále prísť o prostriedky pri podobnom útoku za určitých okolností.

Augusto Teixeira, spoluzakladateľ v Cartesi, ilustroval tento bod, uviedol: “Dokonca aj používatelia hardvérových peňaženiek by mohli byť zasiahnutí takýmito útokmi. Napríklad niekoľko ľudí používa svoje hardvérové peňaženky s pomocou Metamasku, bez overovania dát na obrazovke zariadenia. To sa stáva bežnejším, pretože transakcie sú čoraz zložitejšie a ľudia ich podpisujú na slepo. Overenie je ťažké.”

Podľa Teixeiry hardvérové peňaženky nemajú dôležité funkcie ako adresár alebo integráciu s JSON ABI, čo by umožnilo používateľom lepšie porozumieť tomu, čo podpisujú z obrazovky zariadenia.

Priemyselné dopady a najlepšie praktiky

Incident s NPM otvoril otázky bezpečnostných praktík používaných vývojármi, správcami balíčkov a organizáciami. Niektorí v kryptopriemysle veria, že dodržiavanie najlepších praktík, ako je kolegiálna kontrola a nedovolenie vývojárom nasadiť kód do produkcie bez schválenia, môže minimalizovať pravdepodobnosť takéhoto útoku. Okrem toho tvrdia, že vývojári by mali udržiavať systémy aktuálne a vyhýbať sa opakovanému používaniu hesiel.

Shahaf Bar-Geffen, spoluzakladateľ a CEO v COTI, verí, že správcovia balíčkov ako NPM by mali sťažiť prihlasovanie pre potenciálnych útočníkov. Tvrdí, že “Rámec kritickej bezpečnosti balíčkov,” potenciálne riadený orgánmi ako OpenJS Foundation, “mohol by povinne vyžadovať silnú autentifikáciu (2FA, rozsahové API tokeny), reprodukovateľné zostavy a ročné audity tretích strán pre balíčky, ktoré prekračujú vysoké prahové hodnoty pre sťahovanie.” Bar-Geffen verí, že tento model verifikácie v úrovniach by pomohol podporiť najlepšie praktiky a zároveň chrániť kritickú infraštruktúru.

Aby sa zabránilo závislosti od jednej osoby (ktorá môže mať osobné záujmy) na odhaľovanie škodlivej aktivity, Carlo Fragni, Solution Architect v Cartesi, povzbudzuje projekty, aby boli naladené na kanály používané výskumníkmi. Takisto obhajuje “používanie nástrojov na analýzu závislostí a vykonávanie náležitej starostlivosti o každú závislosť vždy, keď ju aktualizujete na novú verziu.”