Ang kamakailang pag-atake sa supply chain ng NPM ay nagdulot ng panandaliang pagkataranta sa komunidad ng crypto, nagpapataas ng takot sa malawakan na pagnanakaw ng pondo. Habang ang ilan ay hindi pinansin ang exploit bilang menor de edad, binigyang-diin ito ng mga eksperto sa seguridad bilang isang gising para sa mga developer.
Mula sa 'Code Red' hanggang sa 'Nothingburger': Ang NPM Pag-atake ba ay Sobra ang Hype?
ISINULAT NI
IBAHAGI
Isang ‘Walang Kabuluhan’ na may Gising
Ang mga unang ulat ng malakihang pag-atake sa JavaScript Node Package Manager (NPM) supply chain ay nag-trigger ng panandaliang ngunit matinding panahon ng pagkataranta sa loob ng komunidad ng crypto. Sa loob ng ilang oras, ang mga tumutukoy sa wakas ay nag-ingay ng babala, nag-iisip tungkol sa malawakan na pagnanakaw ng mga pondo ng gumagamit. Sa oras na iyon, ang CTO ng Ledger, Charles Guillemet, ay nagpayo sa mga gumagamit ng software wallet na itigil ang mga transaksyon sa on-chain at ang mga gumagamit ng hardware wallet na doblehin ang pag-check sa bawat transaksyon.
Gayunpaman, habang lumipas ang mga oras, naging mas malinaw ang lawak ng pag-atake. Napag-alaman na ang malisyosong code ay lubos na naka-target, at ang bilang ng mga apektadong aplikasyon ay limitado. Ang mga kilalang proyekto tulad ng Uniswap, Metamask, OKX Wallet, at Aave ay naglabas ng mga pahayag na kumpirmasyon na hindi sila naapektuhan.
Ang kakulangan ng malawakan na pinsala ay mabilis na nagbago ng una na pagkataranta sa isang debate. Ilang gumaan na mga gumagamit ng crypto ang nagsimulang kuwestyunin ang tindi ng orihinal na babala, na ang ilan ngayon ay tinitingnan ito bilang alarmista at potensyal na maging hindi direktang pag-atake sa mga software wallet. Ang pananaw na ito ay nagmumungkahi na ang babala, habang itinatampok ang isang tunay na kahinaan, ay maaaring lumabis upang itaguyod ang paggamit ng mga hardware wallet.
Habang ang pinsala patungkol sa ninakaw na crypto ay nagbunsod sa ilan upang tawagin ang exploit na isang “walang kabuluhan,” iginiit ng ilang eksperto sa seguridad ng blockchain na ang insidente ay dapat magsilbing gising sa lahat ng mga developer ng software. Ang mga eksperto ay nagkakaisa na ang insidente ay nagpatunay sa modelo ng seguridad ng mga hardware wallet, ngunit pinapayuhan din nila na ang mga gumagamit ng naturang wallet ay maaari pa ring mawalan ng pondo sa isang katulad na pag-atake sa ilalim ng partikular na mga pagkakataon.
Inilalarawan ni Augusto Teixeira, co-founder sa Cartesi, ang puntong ito, na sinasabi, “Maaaring maapektuhan din ang mga gumagamit ng hardware wallet ng mga ganoong pag-atake. Halimbawa, ilang tao ang gumagamit ng kanilang mga hardware wallet sa tulong ng Metamask, nang hindi tinetsek ang data sa screen ng aparato. Ito ay nagiging mas karaniwan habang ang mga transaksyon ay nagiging mas detalyado at ang mga tao ay bulag na pumipirma sa kanila. Mahirap ang pag-verify.”
Ayon kay Teixeira, ang mga hardware wallet ay kulang sa mahahalagang tampok tulad ng mga address book o integrasyon sa JSON ABI’s, na magbibigay-daan sa mga gumagamit na mas maintindihan ang kanilang isinasa-sign mula sa screen ng aparato.
Implikasyon Para sa Industriya at Mga Pinakamahusay na Kasanayan
Ang NPM insidente ay nagdulot ng pagdududa sa mga kasanayan sa seguridad na ginagamit ng mga developer, tagapamahala ng package, at mga organisasyon. Ang ilan sa industriya ng crypto ay naniniwala na ang pagsunod sa pinakamahuhusay na kasanayan—tulad ng peer review at hindi pagpapahintulot sa mga developer na mag-push ng code sa produksyon nang walang pag-apruba—ay makakabawas sa posibilidad ng ganoong pag-atake. Bukod pa rito, iginiit nila na dapat panatilihing updated ng mga developer ang mga sistema at iwasang magbalik-balik sa paggamit ng mga password.
Si Shahaf Bar-Geffen, co-founder at CEO sa COTI, ay naniniwala na dapat gawing mas mahirap ng mga tagapamahala ng package tulad ng NPM ang proseso ng pag-log-in para sa isang magiging manlulusob. Ipinahayag niya na ang isang “Critical Package Security Framework,” na potensyal na pinangangasiwaan ng mga organisasyon tulad ng OpenJS Foundation, “ay maaaring mag-utos ng malakas na pagpapatotoo (2FA, scoped API tokens), reproducible builds, at taunang third-party na pag-audit para sa mga package na lumampas sa mataas na threshold ng download.” Naniniwala si Bar-Geffen na ang ganitong uri ng verification model ay makakatulong sa pagpapaigting ng pinakamahuhusay na kasanayan habang pinoprotektahan ang kritikal na imprastraktura.
Upang maiwasan ang pag-asa sa iisang tao (na maaaring may pansariling interes) upang i-expose ang malisyosong aktibidad, hinihimok ni Carlo Fragni, Solution Architect sa Cartesi, ang mga proyekto na manatiling nakatutok sa mga channel na ginagamit ng mga mananaliksik. Pinapayo rin niya ang “paggamit ng dependency analyzing tooling at pagkakaroon ng due diligence sa bawat dependency tuwing ito ay ina-update sa bagong bersyon.”
