Une attaque chez Vercel pousse les développeurs crypto à sécuriser leurs clés API
Une faille liée à un outil d’intelligence artificielle compromis pourrait avoir exposé des identifiants utilisés par les interfaces frontales des applications, la couche orientée utilisateur qui connecte les portefeuilles web3 et les interfaces de trading aux services backend.

- Le fournisseur d'infrastructure Web Vercel a révélé une faille de sécurité qui pourrait avoir exposé les clés API des clients, incitant les projets cryptographiques à renouveler leurs identifiants et à revoir leur code.
- Vercel a retracé l'intrusion à une connexion compromise de Google Workspace via l'outil d'IA tiers Context.ai, mais a déclaré que les variables d'environnement marquées comme sensibles sont stockées de manière à empêcher leur lecture et qu'il n'existe aucune preuve qu'elles aient été consultées.
- L'incident suscite une attention particulière car de nombreuses équipes Web3, y compris la plateforme d'échange Orca basée sur Solana, hébergent des interfaces de portefeuille critiques et des tableaux de bord sur Vercel, bien qu'Orca ait indiqué que son protocole on-chain et les fonds des utilisateurs n'ont pas été affectés.
Une violation chez le fournisseur d'infrastructure web Vercel oblige les équipes crypto à renouveler leurs clés API et à effectuer une inspection approfondie de leur code sous-jacent.
Dans un bulletin, Vercel a indiqué que le pirate informatique a pu accéder à des paramètres en coulisses qui n’étaient pas sécurisés, exposant potentiellement des clés API — les identifiants numériques que les applications utilisent pour se connecter à d’autres services. Ces identifiants fonctionnent comme des mots de passe numériques, permettant aux logiciels de se connecter à des bases de données, des portefeuilles cryptographiques et des services externes. Entre de mauvaises mains, ils peuvent être utilisés pour usurper une application, épuiser les limites d’utilisation ou manipuler son fonctionnement.
Un message sur le forum de cybercriminalité BreachForums affirme vendre des données de Vercel pour 2 millions de dollars, incluant des clés d'accès et le code source, bien que ces affirmations n'aient pas été vérifiées de manière indépendante. Vercel a déclaré avoir fait appel à des sociétés spécialisées en réponse aux incidents ainsi qu'aux forces de l'ordre et poursuit son enquête afin de déterminer si des données ont été exfiltrées.
La société a retracé l'intrusion jusqu'à Context.ai, un outil d'intelligence artificielle tiers utilisé par un employé, son PDG a déclaré dans un post sur X, où une connexion compromise à Google Workspace a permis aux attaquants d'escalader les accès vers les environnements internes de Vercel. Vercel a déclaré que les variables d'environnement marquées comme « sensibles » sont stockées de manière à empêcher leur lecture, et qu'il n'y a aucune preuve qu'elles aient été consultées.
L'incident suscite des examens approfondis car Vercel soutient l'infrastructure frontend de nombreuses applications cryptographiques et est le principal gestionnaire de Next.js, l'un des frameworks de développement web les plus utilisés. De nombreuses équipes Web3 hébergent des interfaces de portefeuille et des tableaux de bord d'applications décentralisées sur Vercel, en s'appuyant sur des variables d'environnement pour stocker les identifiants qui connectent leurs frontends aux fournisseurs de données blockchain et aux services backend.
Échange décentralisé Orca basé sur Solana a déclaré que son frontend est hébergé sur Vercel et qu'il a procédé à une rotation de toutes les informations d'identification de déploiement par mesure de précaution. Le projet a ajouté que son protocole onchain et les fonds des utilisateurs n'ont pas été affectés.
Le piratage survient le même week-end où un Exploitation de 292 millions de dollars du token rsETH de Kelp DAO a déclenché une large crise de liquidité à travers la DeFi, provoquant des retraits massifs sur les principales plateformes de prêt, y compris Aave, et suscitant la crainte d'une profondeur de contagion encore inconnue.
Bien que cela ne soit pas entièrement spécifique à la crypto, avec cette récente faille de sécurité chez Vercel, le mois d’avril s’avère être l’un des pires mois pour les exploits cryptographiques cette année, puisque le mois a débuté avec le protocole de perpétuels basé sur Solana Drift se fait vider pour environ 285 millions de dollars dans une attaque ultérieurement liée à des acteurs affiliés à la Corée du Nord, et au moins une douzaine de protocoles plus petits ont été exploités au cours des semaines suivantes, notamment CoW Swap, Zerion, Rhea Finance et Silo Finance.
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
Stablecoin market cap fell to $312B in June, its largest monthly drop since TerraUSD, while tokenized equity volumes surged 145% to a record $3.86B.
Stablecoin market cap fell to $312B in June, its largest monthly drop since TerraUSD, while tokenized equity volumes surged 145% to a record $3.86B.
Pourquoi c'est important:
Stablecoin market cap fell to $312B in June, its largest monthly drop since TerraUSD, while tokenized equity volumes surged 145% to a record $3.86B.

Le trader 'CASHCAT' transforme 800 $ en plus de 1 million de dollars sur la toute nouvelle blockchain de Robinhood

Les validateurs adoptent la récente mise à niveau du XRP Ledger. Mais tout le monde n’est pas encore convaincu



