Még szeptember 9-én írhattunk arról, hogy egy nappal korábban egy pár óráig tartó támadás mekkora pánikot okozott a kriptós közösségben. A Ledger technológiai igazgatója odáig ment a pánikban, hogy arra figyelmeztette a felhasználókat, hogy tartózkodjanak a blokkláncon végrehajtott tranzakcióktól. A történet azzal kezdődött, hogy egy neves fejlesztő NPM-fiókját feltörték és rosszindulatú kódrészeket töltöttek fel kódcsomagokba. Az érintett fejlesztői csomagokat már több mint 1 milliárdszor letöltötték, innen jött a széles körben elterjedő pánik.
Az NPM (Node Package Manager) egy, a JavaScript nyelvhez tartozó csomagkezelő rendszer. Egy fejlesztő NPM-fiókja az a hozzáférés, amellyel csomagokat tud feltölteni vagy frissíteni az NPM-tárhelyre. Ide juttatott be néhány csomagba (szám szerint 18-ba) rosszindulatú kódrészt egy hacker. Annak ellenére, hogy a csomagok széles körben elterjedtek a kriptoszektorban is, a támadás szinte semmilyen veszteséget nem okozott. Samczsun, a Security Alliance nevű blokklánc-biztonsági kollektíva vezetője, az eredményt generációs baklövésnek nevezte.
Bár rövid ideig tartott, a csomagok megfertőzésének hatása igen komolynak tűnt, mivel a chalk és a debug-js csomagokat rendkívül gyakran használják. A Security Alliance elemzése szerint a kompromittált csomagok összesen több mint 2 milliárd letöltést érnek el hetente. Elméletileg ezek az érintett csomagok felhasználhatók voltak kriptofelhasználók tranzakciós adatainak módosítására. Az Aikido magyarázata szerint, hogy a rosszindulatú kód elfogta volna a böngészőben zajló kriptós és web3 tevékenységeket, majd átírta volna a tárcacímeket, hogy a támadók tárcáiba kerüljön a pénz.
A kicserélt címek álcázása érdekében a kód a Levenshtein-távolság algoritmust használja. Ez az algoritmus segít azonosítani a vizuálisan hasonló, támadó által irányított címeket, amelyeket minden egyes támadás során be lehet injektálni. A technika hasonlít az iparágat sújtó, gyakran költséges címmérgezéses (address poisoning) támadásokhoz. A Levenshtein-távolság egy algoritmus, amely két szöveg (például két cím vagy szó) közötti hasonlóságot méri. Azt számolja ki, hogy hány karaktermódosításra van szükség ahhoz, hogy az egyik szöveget átalakítsuk a másikká. A támadók olyan címeket hoznak létre, amelyek nagyon hasonlítanak az eredeti, megbízható címekhez. Így a felhasználó könnyen véletlenül rossz címre küldhet pénzt. Ez a technika az úgynevezett address poisoning része, ahol a támadó szándékosan mérgezi a címlistát hasonló, de hamis címekkel.
A támadás után nagyon sokféle figyelmeztetés keringet a médiában. Valaki szimplán csak a tranzakciók felfüggesztését javasolta, mások a világvégét vizionálták. A MetaMask, a legnépszerűbb böngészős kriptotárca az X-en nyugtatta meg a felhasználóit. Részletesen ismertették a a termékeik és felhasználóik védelmére létrehozott három védelmi réteget.
0xngmi, a decentralizált pénzügyi irányítópult, a DeFiLlama álnéven ismert fejlesztője pedig józanul elmagyarázta, hogy a rosszindulatú csomagok csak azokat a webhelyeket érinthették, amelyek frissítést tettek közzé a feltört npm-csomag megjelenése óta. Összességében a kompromittált csomagok körülbelül két és fél órán át voltak elérhetők. Bár a probléma a GitHubon megoldottként van jelölve, Qix figyelmeztetett, hogy azért még lehetnek más csomagok is érintettek.
Miután kiderült, hogy a veszély korlátozott, a közösség figyelmét a támadó címeire fordította. A Security Alliance összesen körülbelül öt centnyi ETH-t azonosított, amelyet közvetlenül a támadás során loptak el.
Az Etherscan adatai szerint a fő cím birtokában lévő vagyon értéke alig haladja meg a 900 dollárt. Ennek körülbelül a fele azonban 0,1 ETH, amelyet csak 9-én mozgattak be és különböző mémcoinok vannak még a tőkében. Sokan ki is gúnyolták a hackert, hogy sikerült feltörnie egy komoly fejlesztői fiókot, aztán nem tudott egy fillért sem ellopni. A Security Alliance X fiók szerint a szektor nagyon szerencsés volt. A fejlesztőket célzó titokban telepített hátsó ajtó elég sokáig fennmaradhatott volna ahhoz, hogy beépítsék a kriptós alkalmazásokba.
Megjelent a BitcoinBázis oldalon.
