網絡基礎設施提供商 Vercel 的安全漏洞迫使加密團隊輪換 API 密鑰並對其底層代碼進行深入檢查。
Vercel 在一份公告中表示,黑客獲取了未被鎖定的後臺設置,這可能暴露了 API 密鑰——應用程序用於連接其他服務的數字憑證。這些憑證類似於數字密碼,允許軟件連接到數據庫、加密錢包和外部服務。如果落入不法分子手中,這些憑證可用於冒充應用程序、突破使用限制或篡改應用程序的運行方式。
網絡犯罪論壇 BreachForums 上的一則帖子聲稱正在以 200 萬美元的價格出售 Vercel 的數據,其中包括訪問密鑰和源代碼,但這些說法尚未得到獨立證實。Vercel 表示,已聘請事件響應公司和執法部門,並正在繼續調查是否有數據被竊取。
該公司首席執行官在一篇X帖子中表示,他們追蹤到此次入侵源自員工使用的第三方人工智能工具Context.ai。攻擊者利用被入侵的Google Workspace連接,獲得了對Vercel內部環境的訪問權限。Vercel表示,標記為“敏感”的環境變量以防讀取的方式存儲,並且沒有證據表明這些變量曾被訪問過。
此次事件之所以備受關注,是因為 Vercel 為許多加密應用程序提供前端基礎設施,並且是 Next.js(最廣泛使用的 Web 開發框架之一)的主要維護者。許多 Web3 團隊在 Vercel 上託管錢包界面和去中心化應用程序儀表板,並依賴環境變量來存儲連接前端與區塊鏈數據提供商和後端服務的憑證。
基於 Solana 的去中心化交易所 Orca 表示,其前端託管在 Vercel 上,並已出於安全考慮輪換了所有部署憑證。該項目還補充說,其鏈上協議和用戶資金未受影響。
