Từ 'Mã Đỏ' đến 'Nothingburger': Có Phải Vụ Tấn Công NPM Bị Thổi Phồng Quá Mức?

Một vấn đề nhỏ nhưng là một lời cảnh tỉnh

Báo cáo ban đầu về một cuộc tấn công vào chuỗi cung ứng JavaScript Node Package Manager (NPM) đã kích hoạt một giai đoạn hoảng loạn ngắn nhưng mãnh liệt trong cộng đồng tiền điện tử. Trong vài giờ, những người cảnh báo đã nắm bắt cảnh báo này, suy đoán về việc trộm cắp quỹ người dùng trên diện rộng. Vào thời điểm đó, CTO của Ledger, Charles Guillemet, đã khuyên người dùng ví phần mềm ngừng các giao dịch trên chuỗi và người dùng ví phần cứng kiểm tra kỹ mọi giao dịch.

Tuy nhiên, khi thời gian trôi qua, mức độ của cuộc tấn công đã trở nên rõ ràng hơn. Được tiết lộ rằng mã độc đã nhắm vào mục tiêu cao, và số lượng ứng dụng bị ảnh hưởng là hạn chế. Các dự án nổi bật như Uniswap, Metamask, OKX Wallet và Aave đều phát hành tuyên bố xác nhận họ không bị ảnh hưởng.

Thiếu sự tổn thất trên diện rộng nhanh chóng biến sự hoảng loạn ban đầu thành một cuộc tranh luận. Một số người dùng tiền điện tử đã nhẹ nhõm bắt đầu đặt câu hỏi về mức độ nghiêm trọng của cảnh báo ban đầu, với một số người hiện đang xem đó là cường điệu và có khả năng thậm chí là một cuộc tấn công gián tiếp vào ví phần mềm. Quan điểm này cho rằng cảnh báo, mặc dù nêu bật một lỗ hổng thực sự, có thể đã bị phóng đại quá mức để thúc đẩy việc sử dụng ví phần cứng.

Trong khi thiệt hại về mặt tiền điện tử bị đánh cắp đã khiến một số người coi hành vi khai thác này là một “nothingburger,” một số chuyên gia bảo mật chuỗi khối vẫn nhất định sự cố này nên là một lời cảnh tỉnh cho tất cả các nhà phát triển phần mềm. Các chuyên gia này đồng ý rằng sự cố này xác nhận mô hình bảo mật của ví phần cứng, nhưng họ cũng cảnh báo rằng người dùng của ví như vậy vẫn có thể mất tiền vào một cuộc tấn công tương tự trong một số hoàn cảnh.

Augusto Teixeira, đồng sáng lập tại Cartesi, minh họa điểm này, tuyên bố, “Ngay cả người dùng ví phần cứng cũng có thể bị ảnh hưởng bởi những cuộc tấn công như vậy. Ví dụ, một số người sử dụng ví phần cứng của họ với sự trợ giúp của Metamask, mà không xác minh dữ liệu trên màn hình thiết bị. Điều này trở nên phổ biến hơn khi các giao dịch trở nên phức tạp hơn và người dùng không xem kỹ ký chúng. Việc xác minh là khó khăn.”

Theo Teixeira, ví phần cứng thiếu các tính năng quan trọng như sổ địa chỉ hoặc tích hợp với JSON ABI, cho phép người dùng hiểu rõ hơn về những gì họ đang ký từ màn hình của thiết bị.

Ý nghĩa Toàn ngành và Các Thực hành Tốt nhất

Sự cố NPM đã đặt ra câu hỏi về các thực hành bảo mật được sử dụng bởi các nhà phát triển, quản lý gói và tổ chức. Một số người trong ngành tiền điện tử tin rằng tuân theo các thực hành tốt nhất — chẳng hạn như đánh giá đồng cấp và không cho phép nhà phát triển đẩy mã đến sản xuất mà không được phê duyệt — có thể giảm khả năng xảy ra một cuộc tấn công như vậy. Ngoài ra, họ cho rằng các nhà phát triển nên giữ cho hệ thống được cập nhật và tránh tái sử dụng mật khẩu.

Shahaf Bar-Geffen, đồng sáng lập và CEO tại COTI, tin rằng các quản lý gói như NPM nên làm cho quá trình đăng nhập khó khăn hơn cho kẻ tấn công tiềm năng. Ông lập luận rằng một “Hệ thống Bảo mật Gói Quan trọng” có thể được giám sát bởi các tổ chức như OpenJS Foundation, có thể yêu cầu xác thực mạnh mẽ (2FA, mã thông báo API scoped), xây dựng có thể tái tạo và kiểm toán bên thứ ba hàng năm cho các gói vượt qua ngưỡng tải xuống cao. Bar-Geffen tin rằng mô hình xác minh theo tầng này sẽ giúp khuyến khích các thực hành tốt nhất trong khi bảo vệ cơ sở hạ tầng quan trọng.

Để tránh phải dựa vào một người duy nhất (có thể có lợi ích cá nhân) để phát hiện hoạt động độc hại, Carlo Fragni, Kiến trúc sư Giải pháp tại Cartesi, khuyến khích các dự án theo dõi các kênh được các nhà nghiên cứu sử dụng. Ông cũng khuyến nghị “sử dụng công cụ phân tích phụ thuộc và thực hiện thẩm định trên mọi phụ thuộc mỗi khi nó được cập nhật lên một phiên bản mới.”