Nedavni napad na NPM dobavno verigo je povzročil kratkotrajno paniko v kripto skupnosti, saj so se pojavili strahovi pred obsežno krajo sredstev. Medtem ko so nekateri izkoristek označili za manjši, so varnostni strokovnjaki poudarili, da gre za budnico za razvijalce.
Od 'Rdečega alarma' do 'Ni kaj prida': Je bil NPM izkoriščanje prenapihnjen?
NAPISAL
DELI
“Nothingburger” z budnico
Začetna poročila o obsežnem napadu na JavaScript Node Package Manager (NPM) dobavno verigo so povzročila kratkotrajno, a intenzivno obdobje panike znotraj kripto skupnosti. Veščerji so se za nekaj ur oklepali opozorila in špekulirali o obsežni kraji sredstev uporabnikov. V tistem času je Ledger CTO, Charles Guillemet, svetoval uporabnikom programsko denarnico, naj prenehajo z verižnimi transakcijami, in uporabnikom strojnih denarnic, naj natančno preverijo vsako transakcijo.
Vendar se je po nekaj urah velikost napada razjasnila. Izkazalo se je, da je bila zlonamerna koda zelo ciljno usmerjena, število prizadetih aplikacij pa je bilo omejeno. Pomembni projekti, kot so Uniswap, Metamask, OKX Wallet in Aave, so vsi izdali izjave, da niso bili prizadeti.
Pomanjkanje obsežne škode je hitro spremenilo začetno paniko v razpravo. Nekateri olajšani kripto uporabniki so začeli postavljati pod vprašaj resnost prvotnega opozorila, nekateri pa ga zdaj vidijo kot alarmantno in potencialno celo posreden napad na programsko denarnico. Ta perspektiva nakazuje, da je bilo opozorilo, čeprav je poudarilo resnično ranljivost, morda pretirano predstavljeno za promocijo uporabe strojnih denarnic.
Medtem ko je škoda v smislu ukradenega kripta pri nekaterih pripeljala do tega, da so izkoristek označili kot “nothingburger”, nekateri strokovnjaki za varnost blockchain vztrajajo, da bi incident moral služiti kot budnica za vse razvijalce programske opreme. Ti strokovnjaki se strinjajo, da incident potrjuje varnostni model strojnih denarnic, vendar tudi opozarjajo, da lahko uporabniki takih denarnic še vedno izgubijo sredstva zaradi podobnega napada v določenih okoliščinah.
Augusto Teixeira, soustanovitelj v Cartesi, je ilustriral to točko, rekoč: “Tudi uporabniki strojnih denarnic bi lahko bili prizadeti zaradi takih napadov. Na primer, več ljudi uporablja svoje strojne denarnice s pomočjo Metamask, ne da bi preverjali podatke na zaslonu naprave. To postaja vse pogostejše, ko postanejo transakcije bolj zapletene in jih ljudje slepo podpisujejo. Preverjanje je težko.”
Po Teixeiri strojne denarnice nimajo pomembnih funkcij, kot so imeniki naslovov ali integracija z JSON ABI-ji, kar bi uporabnikom omogočilo, da bolje razumejo, kaj podpisujejo z zaslona naprave.
Posledice za celotno industrijo in najboljše prakse
NPM incident je postavil pod vprašaj varnostne prakse, ki jih uporabljajo razvijalci, upravljavci paketov in organizacije. Nekateri v kripto industriji verjamejo, da lahko sledi najboljšim praksam – kot so pregled vrstnikov in ne dovoljevanje razvijalcem, da pošiljajo kodo v produkcijo brez odobritve – zmanjša verjetnost takega napada. Poleg tega trdijo, da bi morali razvijalci sisteme posodabljati in ne uporabljati ponovno gesel.
Shahaf Bar-Geffen, soustanovitelj in izvršni direktor pri COTI, verjame, da bi morali upravljavci paketov, kot je NPM, otežiti prijavni proces za morebitnega napadalca. Zatrjuje, da bi “Okvir za varnost kritičnih paketov,” ki bi ga lahko nadzorovala telesa, kot je OpenJS Foundation, “lahko zahteval močno overjanje (2FA, obsegani API žetoni), ponovljive različice in letne presoje tretjih oseb za pakete, ki presegajo visoke prage prenosa.” Bar-Geffen verjame, da bi ta model večstopenjskega preverjanja pomagal spodbujati najboljše prakse, hkrati pa zaščitil kritično infrastrukturo.
Da se izogne zanašanju na eno osebo (ki ima lahko lastne interese) za razkritje zlonamerne dejavnosti, Carlo Fragni, arhitekt rešitev v Cartesi, spodbuja projekte, naj bodo na tekočem s kanali, ki jih uporabljajo raziskovalci. Prav tako zagovarja “uporabo orodij za analizo odvisnosti in skrbno preverjanje vsake odvisnosti, kadar koli je posodobljena na novo različico.”
