Hack contra o repositório NPM espalhou pacotes maliciosos usados em carteiras e dApps.
A Ledger alertou usuários e recomendou suspender transações on-chain.
Perdas diretas foram menores que US$ 100, mas o risco potencial era bilionário.
Caso expõe vulnerabilidade de agentes centralizadores e reacende debate sobre segurança na Web3.
O mercado cripto viveu nesta segunda-feira (8/9) um momento de tensão devido a uma ameaça hacker de proporções avassaladoras.
O ataque teve como alvo o repositório do Node Package Manager (NPM), utilizado por milhões de projetos que dependem de bibliotecas em JavaScript. Portanto, resultou na injeção de código malicioso em pacotes amplamente usados por aplicativos descentralizados e carteiras digitais.
A notícia se espalhou rapidamente depois que o CTO da Ledger, Charles Guillemet, fez um alerta público sobre o incidente, recomendando que usuários evitassem qualquer tipo de interação on-chain até que a extensão do problema fosse mapeada.
🚨 There’s a large-scale supply chain attack in progress: the NPM account of a reputable developer has been compromised. The affected packages have already been downloaded over 1 billion times, meaning the entire JavaScript ecosystem may be at risk.
Ainda que as perdas diretas tenham sido inferiores a US$ 100 (até então), especialistas afirmam que o potencial de estrago era bilionário. Por isso, o episódio já se mostra um divisor de águas para as discussões sobre centralização de infraestrutura no ecossistema cripto.
O ataque explorou uma vulnerabilidade que não dizia respeito ao código de blockchains como as do Bitcoin, Ethereum ou das outras melhores criptomoedas. O foco foi um ponto de concentração da cadeia de ferramentas digitais que sustentam a Web3.
Os invasores comprometeram permissões privilegiadas de uma biblioteca como o strip-ansi, aparentemente trivial, mas presente como dependência em incontáveis aplicações. Em seguida, os atacantes conseguiram distribuir uma atualização envenenada que substituía endereços de carteiras em transações por contas controladas por eles.
Isso significa que qualquer usuário que interagisse com aplicativos baseados nesses pacotes poderia acabar enviando seus fundos para os hackers sem perceber.
O risco se tornou sistêmico porque bibliotecas de código aberto, centralizadas em repositórios como o NPM, são incorporadas de forma quase automática a milhares de projetos, sem uma auditoria contínua de cada nova versão.
A rapidez na detecção do ataque foi crucial para evitar um desastre de grandes proporções. Assim que a Ledger emitiu o alerta, a comunidade open source reagiu, bloqueando versões corrompidas, revertendo commits e atualizando repositórios.
O próprio NPM retirou as versões maliciosas de circulação e restaurou pacotes limpos, enquanto empresas de segurança digital dispararam avisos para seus clientes.
Essa coordenação em tempo real foi suficiente para conter o que poderia ter sido um dos maiores hacks da história cripto. Ainda assim, o susto deixou claro que a infraestrutura de código é um ponto cego que não pode mais ser negligenciado.
A culpa é de quem?
O episódio revelou que os riscos não estão apenas em redes descentralizadas, mas também na cadeia centralizada de ferramentas, frameworks e serviços que orbitam esse ecossistema.
Esse debate não é novo, mas ganhou contornos mais urgentes com a ameaça mais recente. Afinal, ela foi diferente de casos como o do ataque à Venus Protocol, por exemplo.
Há anos, pesquisadores alertam sobre o risco de supply chain attacks, ou ataques à cadeia de suprimentos de software, como ameaça maior que falhas em protocolos cripto.
Esse caso mostrou que, com a crescente interconexão entre pacotes, bibliotecas e serviços, basta que um elo sofra uma invasão para que a contaminação se espalhe em escala global. É exatamente o oposto do que a descentralização propõe.
As consequências do hack para o setor cripto vão além do prejuízo imediato. Exchanges, protocolos DeFi e carteiras agora terão de rever seus processos de auditoria, pinagem de versões de pacotes e validação independente de código.
Além disso, startups que baseavam sua agilidade em adotar dependências de código aberto terão de balancear velocidade com segurança, algo que inevitavelmente aumenta os custos de desenvolvimento.
Usuários com medo de interagir com ecossistema
A confiança do usuário comum também foi abalada. Por algumas horas, a recomendação era simplesmente não interagir com nenhuma aplicação cripto, o que mostra como o medo de vulnerabilidades centrais pode congelar um mercado inteiro.
O episódio também expõe a importância de diversificar infraestrutura. Enquanto blockchains são resilientes devido à sua distribuição em milhares de nós, repositórios como o NPM concentram poder em servidores e contas de acesso que podem passar por esses hacks.
Descentralização centralizada
A ironia do hack ficou clara para os usuários. Afinal, a tecnologia de blockchain surgiu para reduzir pontos únicos de falha. Mas essas redes dependem de ecossistemas de software que ainda mantêm pontos centralizados. Esse paradoxo será o grande tema da segurança digital nos próximos anos.
Outros protocolos anunciaram suas próprias medidas de contenção após o alerta. Alguns deles, como Balancer, SushiSwap e Opensea, desativaram temporariamente seus frontends para evitar riscos.
A Tether chegou a congelar endereços suspeitos vinculados ao ataque. Plataformas de monitoramento, como a Aikido, reforçaram alertas sobre pacotes anômalos e recomendaram a verificação de checksums e assinaturas digitais.
Tudo isso aponta para uma tendência de adoção de ferramentas mais robustas de auditoria e governança de código, possivelmente com incentivo de seguradoras e fundos de investimento que não aceitarão mais riscos tão evidentes.
O ataque de 8 de setembro serviu, portanto, como um choque de realidade para agentes do mercado. Muitos discutem que, não adianta a indústria cripto se vangloriar da resiliência do Bitcoin ou da sofisticação de contratos inteligentes se a interface que conecta usuários a essas redes continua vulnerável por depender de pontos centralizados.
Portanto, o grande hack no repositório de JavaScript será lembrado não pelas perdas que causou, mas pelas perdas que quase causou.
Disclaimer: Coinspeaker está comprometido em fornecer reportagens imparciais e transparentes. Este artigo tem como objetivo fornecer informações precisas e oportunas. Mas não deve ser considerado como conselho financeiro ou de investimento. Como as condições do mercado podem mudar rapidamente, recomendamos que você verifique as informações por conta própria. E consulte um profissional antes de tomar qualquer decisão com base neste conteúdo.
Marta Barbosa Stephens é escritora e jornalista formada pela Universidade Católica de Pernambuco, com mestrado na PUC São Paulo e pós-graduação em edição na Universidade de Barcelona.
Trabalhou em diversas redações de jornais e revistas no Brasil. Foi repórter de economia no Jornal da Tarde, do grupo O Estado de São Paulo e editora-adjunta de finanças pessoais na revista IstoÉ Dinheiro. Atuou no mercado de edição de livros de finanças em São Paulo e foi, por seis anos, redatora-chefe da revista Prazeres da Mesa (https://www.prazeresdamesa.com.br/), antes de se mudar para Inglaterra.
No Reino Unido, foi editora do jornal Notícias em Português, voltado à comunidade lusófona na Inglaterra.
Escreve e edita sobre o mercado de criptomoedas e tecnologia blockchain desde 2022.
We use cookies to ensure that we give you the best experience on our website. If you continue to use this site we will assume that you are happy with it.Ok
