fix(webhooks): fail-closed Yapeal key check + drop Alchemy cache log line

[TaprootFreak]

Hintergrund

Zwei Medium-Findings aus dem branch-weiten Security-Review, beide an anonym erreichbaren Webhook-Endpoints.

1. Yapeal-Webhook fail-open → fail-closed

bank/yapeal/webhook (yapeal-webhook.controller.ts) prüft einen x-api-key-Header. validateApiKey kehrte bei fehlendem erwarteten Key vorzeitig zurück (if (!expectedKey) return;) und akzeptierte damit jeden unauthentifizierten Request — auf einem Endpoint, der Bank-Zahlungseingänge als erhalten markiert (processWebhook). Verstösst gegen die No-Fallbacks-Regel.

Fix: Fail-closed — ein fehlender erwarteter Key lehnt jetzt jeden Request ab. Verifiziert: YAPEAL_WEBHOOK_API_KEY ist auf DEV und PRD gesetzt, die strengere Prüfung trifft also keine Umgebung.

2. Alchemy-Webhook: Cache-Log-Zeile entfernt

alchemy-webhook.service.ts isValidWebhookSignature loggte bei unbekannter webhookId Webhook cache: ${JSON.stringify(this.webhookCache)}.

Klarstellung zum Review: Die Zeile leakt die Signing-Keys aktuell nicht — JSON.stringify eines Map ergibt {}, die Map-Einträge werden nicht serialisiert (per node verifiziert). Sie ist aber (a) anonym auslösbares, nutzloses Log-Rauschen und (b) ein latenter Secret-Leak, falls der Cache-Typ je auf ein Plain-Object umgestellt wird. Daher entfernt; die webhookId has no signing key-Warnung (kein Secret) bleibt.

Tests

Neuer YapealWebhookController-Spec: korrekter Key → verarbeitet, falscher Key → ForbiddenException, kein Key konfiguriert → lehnt jeden Request ab (fail-closed). format:check, type-check, lint sauber; Yapeal-Spec 3/3 grün.

Teil des Security-Backlogs; verbleibend: Lightning-Sign-in-Bypass bei leerer Signatur, SDK x-kyc-code ohne Origin-Check.