从“代码红色”到“无事发生”：NPM漏洞是否被夸大了？

一个带有警示作用的“无关紧要事件”

关于大规模JavaScript Node Package Manager (NPM)供应链攻击的初步报道在加密社区引发了短暂而强烈的恐慌。几小时内，预言灾难的人抓住警告不放，猜测用户资金的大规模被盗。当时，Ledger的CTO Charles Guillemet 建议软件钱包用户停止链上交易，并建议硬件钱包用户仔细检查每笔交易。

然而，随着时间的推移，攻击的规模逐渐明朗。结果显示，恶意代码的目标非常具体，受影响的应用数量有限。像Uniswap、Metamask、OKX钱包和Aave这些知名项目都发表声明确认未受影响。

广泛损害的缺乏迅速将最初的恐慌转化为争论。一些放心的加密用户开始质疑原始警告的严重性，有些人现在将其视为危言耸听，甚至可能是对软件钱包的间接攻击。这一观点认为，尽管警告突出了一种真正的漏洞，但可能被夸大以推动硬件钱包的使用。

尽管被盗加密货币的损害导致一些人将漏洞称为“无关紧要”，但一些区块链安全专家坚持认为这一事件应当作为所有软件开发人员的警示。这些专家同意该事件验证了硬件钱包的安全模型，但他们也警告说，即便是使用这种钱包的用户在某些情况下仍可能在类似攻击中遭受资金损失。

Cartesi的联合创始人Augusto Teixeira对此进行了说明，他指出：“甚至硬件钱包用户也可能受到此类攻击的影响。例如，很多人通过Metamask使用他们的硬件钱包，而不验证设备屏幕上的数据。这种情况随着交易的复杂化和人们盲目签署而变得更加普遍。验证过程很困难。”

根据Teixeira的说法，硬件钱包缺乏重要功能，如地址簿或与JSON ABI的集成，这使得用户无法更好地理解他们在设备屏幕上签名的内容。

行业广泛影响及最佳实践

NPM事件质疑了开发人员、包管理器和组织所使用的安全实践。加密行业中的一些人认为，遵循最佳实践——如同行评审以及不允许开发人员未经批准将代码推向生产——可以将此类攻击的概率降到最低。此外，他们认为开发人员应保持系统更新并避免重复使用密码。

COTI的联合创始人兼CEO Shahaf Bar-Geffen认为，像NPM这样的包管理器应该使潜在攻击者的签名过程更加困难。他主张由像OpenJS Foundation这样的机构监督一个“关键包安全框架”，“可以强制要求强身份验证（2FA，范围API令牌）、可再现构建，以及对超过高下载阈值的包进行年度第三方审计。”Bar-Geffen认为这种分层验证模型将有助于激励最佳实践，同时保护关键基础设施。

为了避免依赖单个人来揭露恶意活动（可能存在既得利益），Cartesi的解决方案架构师Carlo Fragni鼓励各项目保持关注研究人员使用的渠道。他还倡导“使用依赖性分析工具，并在每次依赖性更新到新版本时进行尽职调查。”