Um recente ataque à cadeia de fornecimento NPM gerou um breve pânico na comunidade cripto, levantando temores de roubo generalizado de fundos. Embora alguns tenham desconsiderado a exploração como menor, os especialistas em segurança enfatizaram que é um alerta para os desenvolvedores.
Um ‘Nothingburger’ Com um Sinal de Alerta
Relatórios iniciais de um ataque de cadeia de suprimentos em larga escala ao Gerenciador de Pacotes Node JavaScript (NPM) desencadearam um breve, mas intenso período de pânico dentro da comunidade cripto. Durante algumas horas, os profetas do apocalipse aproveitaram o aviso, especulando sobre um roubo generalizado de fundos dos usuários. Na época, o CTO da Ledger, Charles Guillemet, aconselhou os usuários de carteiras de software a interromper transações on-chain e os usuários de carteiras de hardware a verificar cada transação.
No entanto, à medida que as horas passavam, a magnitude do ataque tornava-se mais clara. Revelou-se que o código malicioso era altamente direcionado e o número de aplicações afetadas era limitado. Projetos proeminentes como Uniswap, Metamask, OKX Wallet e Aave divulgaram declarações confirmando que não foram afetados.
A falta de danos generalizados rapidamente transformou o pânico inicial em um debate. Alguns usuários de criptomoedas aliviados começaram a questionar a gravidade do aviso original, com alguns agora o vendo como alarmista e potencialmente até mesmo um ataque indireto às carteiras de software. Esta perspectiva sugere que o aviso, embora destaque uma vulnerabilidade genuína, pode ter sido exagerado para promover o uso de carteiras de hardware.
Enquanto os danos em termos de criptomoeda roubada levaram alguns a rotular a exploração de “nada de especial”, alguns especialistas em segurança de blockchain insistem que o incidente deve servir como um alerta para todos os desenvolvedores de software. Esses especialistas concordam que o incidente valida o modelo de segurança das carteiras de hardware, mas também alertam que os usuários de tais carteiras ainda podem perder fundos em um ataque semelhante sob certas circunstâncias.
Augusto Teixeira, um cofundador da Cartesi, ilustrou este ponto, afirmando: “Até os usuários de carteiras de hardware poderiam ser afetados por tais ataques. Por exemplo, várias pessoas usam suas carteiras de hardware com a ajuda do Metamask, sem verificar os dados na tela do dispositivo. Isso está se tornando mais comum à medida que as transações se tornam mais elaboradas e as pessoas as assinam sem olhar. Verificar é difícil.”
De acordo com Teixeira, as carteiras de hardware carecem de recursos importantes, como catálogos de endereços ou integração com JSON ABI, que permitiriam aos usuários entender melhor o que estão assinando a partir da tela do dispositivo.
Implicações em Todo o Setor e Melhores Práticas
O incidente do NPM levantou questões sobre as práticas de segurança utilizadas por desenvolvedores, gerentes de pacotes e organizações. Alguns na indústria de criptomoedas acreditam que seguir as melhores práticas—como a revisão por pares e não permitir que os desenvolvedores enviem código para produção sem aprovação—pode minimizar a probabilidade de tal ataque. Além disso, argumentam que os desenvolvedores devem manter os sistemas atualizados e evitar reutilizar senhas.
Shahaf Bar-Geffen, co-fundador e CEO da COTI, acredita que gerenciadores de pacotes como o NPM deveriam tornar o processo de login mais difícil para um possível atacante. Ele argumenta que um “Framework de Segurança de Pacotes Críticos”, potencialmente supervisionado por entidades como a OpenJS Foundation, “poderia exigir autenticação forte (2FA, tokens de API escopados ), builds reproduzíveis e auditorias anuais de terceiros para pacotes que excedem altos limites de download.” Bar-Geffen acredita que este modelo de verificação em camadas ajudaria a incentivar as melhores práticas enquanto protege a infraestrutura crítica.
Para evitar depender de uma única pessoa ( que pode ter interesses pessoais) para expor atividades maliciosas, Carlo Fragni, Arquiteto de Soluções na Cartesi, incentiva os projetos a manterem-se atentos aos canais utilizados pelos pesquisadores. Ele também defende “usar ferramentas de análise de dependências e realizar a devida diligência em cada dependência sempre que for atualizada para uma nova versão.”
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
