Отрута ланцюга поставок: Коли довірені оновлення стають шкідливими

Резюме: Ви дуже обережні. Ви не відвідуєте підозрілі сайти. Ви не використовуєте піратське ПЗ. Ви оновлюєте лише легальне програмне забезпечення. І все одно вас зламали. Це кошмар злому 'Ledger Connect Kit' і як захистити себе від довірених джерел.

1. Інцидент з Ledger Connect Kit

У грудні 2023 року криптосвіт затамував подих.

Ledger не був зламаний напряму. Була зламана бібліотека, яку використовував Ledger.

Колишній співробітник став жертвою фішингу. Хакери отримали доступ до його акаунту NPM і завантажили шкідливий код у бібліотеку @ledgerhq/connect-kit.

Раптом кожен сайт (SushiSwap, Revoke.cash тощо), який використовував останню версію цієї бібліотеки, почав автоматично показувати користувачам спливаюче вікно підробленого гаманця.

Користувачі не зробили нічого поганого. Вони зайшли на правильний сайт, але сайт завантажив отруєний «ланцюг поставок» (Supply Chain).

2. Як це працює

Сучасне програмне забезпечення схоже на Lego. Розробники не пишуть увесь код самі. Вони беруть «залежності» (Dependencies/Бібліотеки) від інших.

• Ваш додаток використовує бібліотеку А.
• Бібліотека А використовує бібліотеку Б.
• Бібліотека Б скомпрометована.

Хакери обожнюють це, тому що злом однієї бібліотеки дає їм мільйони жертв одночасно.

3. Як захистити себе (Для користувачів)

Як захиститися від того, що обходить навіть технологічних гігантів?

Правило "Очікування" (The Wait Rule)

Коли виходить велике оновлення або нова функція, не будьте першим, хто оновлюється.

Дайте спільноті (і крипто-безпеці Twitter/X) 24-48 годин на перевірку. Якщо є атака на ланцюг поставок, новини поширюються як лісова пожежа.

Подвійна перевірка

Якщо ваш улюблений dApp просить вас увімкнути (Enable) або схвалити (Approve) щось дивне:

1. Перевірте їх Twitter.
2. Перевірте їх Discord.
3. Перевірте дослідників безпеки в Twitter (наприклад, @zachxbt).

Якщо скрізь тихо... ймовірно, це безпечно. Але якщо всі кричать «НЕ ПІДКЛЮЧАЙТЕСЯ» (DO NOT CONNECT), ви щойно врятувалися.

Висновок

У взаємопов'язаному світі ваша безпека залежить від найслабшої ланки. Іноді бути «пізнім користувачем» (Late Adopter) і не оновлюватися миттєво безпечніше, ніж бути першопрохідцем.