Ang pag-hack sa Vercel ay nagtutulak sa mga Crypto developer na mag-agawan upang i-lock ang mga API key

Ang paglabag na nauugnay sa nakompromisong AI tool ay maaaring may mga nakalantad na kredensyal na ginagamit ng mga frontend ng app, ang user-facing layer na nagkokonekta sa mga web3 wallet at mga trading interface sa mga serbisyo ng backend.

Hacker (Getty Images/Seksan Mongkhonkhamsao)
Summary
  • Isiniwalat ng web infrastructure provider na Vercel ang isang paglabag sa seguridad na maaaring naglantad sa mga API key ng customer, na nag-udyok sa mga Crypto project na i-rotate ang mga credential at suriin ang kanilang code.
  • Natunton ng Vercel ang panghihimasok sa isang nakompromisong koneksyon sa Google Workspace sa pamamagitan ng third-party AI tool na Context.ai, ngunit sinabing ang mga environment variable na minarkahan bilang sensitibo ay nakaimbak sa paraang pumipigil sa mga ito na mabasa at walang ebidensya na na-access ang mga ito.
  • Ang insidente ay nakakakuha ng partikular na pagsusuri dahil maraming mga koponan ng Web3, kabilang ang Solana-based exchange ORCA, ang nagho-host ng mga kritikal na interface ng wallet at dashboard sa Vercel, bagaman sinabi ng ORCA na ang on-chain protocol at pondo ng gumagamit nito ay hindi naapektuhan.

Isang paglabag sa web infrastructure provider na Vercel ang pumipilit sa mga Crypto team na i-rotate ang mga API key at magsagawa ng malalimang inspeksyon sa kanilang pinagbabatayan na code.

Sa isangbuletin, sinabi ni Vercel na nagawang makuha ng hacker ang mga setting sa likod ng mga eksena na T naka-lock, na posibleng naglalantad sa mga API key — ang mga digital credential app na ginagamit para kumonekta sa iba pang mga serbisyo. Ang mga kredensyal na iyon ay gumagana tulad ng mga digital na password, na nagpapahintulot sa software na kumonekta sa mga database, Crypto wallet, at mga panlabas na serbisyo. Sa maling mga kamay, maaari itong gamitin para magpanggap na isang app, lumampas sa mga limitasyon sa paggamit, o manipulahin kung paano ito tumatakbo.

Isang post sa cybercrime forum na BreachForums ang nagsabing nagbebenta sila ng datos ng Vercel sa halagang $2 milyon, kabilang ang mga access key at source code, bagama't ang mga paratang na iyon ay hindi pa nabeberipika nang nakapag-iisa. Sinabi ng Vercel na nakipag-ugnayan na ito sa mga incident response firm at mga tagapagpatupad ng batas at patuloy na iniimbestigahan kung may anumang datos na na-exfiltrate.

Natunton ng kompanya ang panghihimasok sa Context.ai, isang third-party AI tool na ginagamit ng isang empleyado,sabi ng CEO nito sa isang post sa X, kung saan ang isang nakompromisong koneksyon sa Google Workspace ay nagbigay-daan sa mga umaatake na palawakin ang access sa mga internal na kapaligiran ng Vercel. Sinabi ng Vercel na ang mga environment variable na minarkahan bilang "sensitibo" ay iniimbak sa paraang pumipigil sa mga ito na mabasa, at walang ebidensya na na-access ang mga ito.

Ang insidente ay umaakit ng masusing pagsusuri dahil ang Vercel ang sumusuporta sa frontend infrastructure para sa maraming Crypto application at siyang pangunahing tagapangasiwa ng Next.js, ONE sa mga pinakalawak na ginagamit na web development framework. Maraming Web3 team ang nagho-host ng mga wallet interface at decentralized app dashboard sa Vercel, umaasa sa mga environment variable upang mag-imbak ng mga credential na nagkokonekta sa kanilang mga frontend sa mga blockchain data provider at backend service.

Desentralisadong palitan na nakabase sa Solana ORCAsinabing ang frontend nito ay naka-host sa Vercel at iniikot nito ang lahat ng deployment credentials bilang pag-iingat. Idinagdag ng proyekto na ang onchain protocol at mga pondo ng user nito ay hindi naapektuhan.

Ang hack ay darating sa parehong katapusan ng linggo kapag ang isang$292 milyong pagsasamantala Ang rsETH token ng Kelp DAO ay nagdulot ng malawakang krisis sa likididad sa buong DeFi, na nagdulot ng matinding pagwi-withdraw mula sa mga pangunahing lending platform, kabilang ang Aave , at nagdulot ng pangamba sa hindi pa rin alam na lalim ng pagkalat.

Bagama't hindi ganap na partikular sa Crypto , sa pinakabagong Vercel hack na ito, ang Abril ay nagiging ONE sa mga pinakamasamang buwan para sa mga Crypto exploit ngayong taon, dahil nagsimula ang buwan gamit ang Solana-based perpetuals protocol. Nauubos ang tubig dahil sa agos para sa humigit-kumulang $285 milyon sa isang pag-atake na kalaunan ay iniugnay sa mga aktor na kaakibat ng Hilagang Korea, at hindi bababa sa isang dosenang mas maliliit na protocol ang pinagsamantalahan sa mga linggo mula noon, kabilang ang CoW Swap, Zerion, Rhea Finance at Silo Finance.

AI Disclaimer: Ang mga bahagi ng artikulong ito ay nabuo sa tulong ng mga tool ng AI at sinuri ng aming editorial team upang matiyak ang katumpakan at pagsunod sa aming mga pamantayan. Para sa karagdagang impormasyon, tingnan Ang buong Patakaran sa AI ng CoinDesk.
QR 2 Square Logo

Digital assets posted a third consecutive quarter of losses in Q2 2026, the longest losing streak since the 2022 bear market, as institutional capital rotated into AI equities and Bitcoin ETFs recorded their largest quarterly outflow since launch. Our report examines what drove the divergence, where structural adoption continued regardless, and what Q3 signals to watch.

Bakit ito mahalaga:

Digital assets posted a third consecutive quarter of losses in Q2 2026, the longest losing streak since the 2022 bear market, as institutional capital rotated into AI equities and Bitcoin ETFs recorded their largest quarterly outflow since launch. Our report examines what drove the divergence, where structural adoption continued regardless, and what Q3 signals to watch.