Hack na Vercel faz desenvolvedores de criptomoedas correrem para proteger chaves de API

Violação relacionada a ferramenta de IA comprometida pode ter exposto credenciais utilizadas por frontends de aplicativos, a camada voltada ao usuário que conecta carteiras web3 e interfaces de negociação aos serviços de backend.

Hacker (Getty Images/Seksan Mongkhonkhamsao)
Summary
  • O provedor de infraestrutura web Vercel divulgou uma violação de segurança que pode ter exposto chaves de API de clientes, levando projetos de criptomoedas a rotacionar credenciais e revisar seus códigos.
  • A Vercel rastreou a intrusão até uma conexão comprometida do Google Workspace por meio da ferramenta de IA de terceiros Context.ai, mas afirmou que as variáveis de ambiente marcadas como sensíveis são armazenadas de forma que impede sua leitura e não há evidências de que tenham sido acessadas.
  • O incidente está recebendo atenção especial porque muitas equipes de Web3, incluindo a exchange Orca, baseada em Solana, hospedam interfaces críticas de carteira e dashboards na Vercel, embora a Orca tenha afirmado que seu protocolo on-chain e os fundos dos usuários não foram afetados.

Uma violação no provedor de infraestrutura web Vercel está obrigando equipes de criptomoedas a rotacionar chaves API e realizar uma inspeção profunda de seu código subjacente.

Em um boletim, A Vercel afirmou que o hacker conseguiu acessar configurações internas que não estavam protegidas, potencialmente expondo chaves de API — as credenciais digitais que os aplicativos usam para se conectar a outros serviços. Essas credenciais funcionam como senhas digitais, permitindo que o software se conecte a bancos de dados, carteiras de criptomoedas e serviços externos. Nas mãos erradas, elas podem ser usadas para se passar por um aplicativo, ultrapassar limites de uso ou manipular seu funcionamento.

Um post no fórum de crimes cibernéticos BreachForums afirmou estar vendendo dados da Vercel por US$ 2 milhões, incluindo chaves de acesso e código-fonte, embora essas alegações não tenham sido verificadas de forma independente. A Vercel declarou que contratou empresas de resposta a incidentes e autoridades policiais, e continua investigando se algum dado foi exfiltrado.

A empresa rastreou a intrusão até a Context.ai, uma ferramenta de IA terceirizada utilizada por um funcionário, seu CEO afirmou em uma publicação no X, onde uma conexão comprometida do Google Workspace permitiu que invasores escalassem o acesso aos ambientes internos da Vercel. A Vercel afirmou que variáveis de ambiente marcadas como “sensíveis” são armazenadas de forma a impedir sua leitura, e que não há evidências de que tenham sido acessadas.

O incidente está atraindo atenção porque a Vercel sustenta a infraestrutura frontend para muitas aplicações de criptomoedas e é a principal responsável pelo Next.js, um dos frameworks de desenvolvimento web mais utilizados. Muitas equipes de Web3 hospedam interfaces de carteiras e painéis de aplicativos descentralizados na Vercel, confiando em variáveis de ambiente para armazenar credenciais que conectam seus frontends a provedores de dados blockchain e serviços backend.

Exchange descentralizada Orca baseada em Solana informou que seu frontend está hospedado na Vercel e que todas as credenciais de implantação foram rotacionadas como medida preventiva. O projeto acrescentou que seu protocolo onchain e os fundos dos usuários não foram afetados.

O ataque cibernético ocorre no mesmo fim de semana em que um Exploração de 292 milhões de dólares do token rsETH da Kelp DAO desencadeou uma ampla crise de liquidez em todo o DeFi, provocando fortes retiradas de grandes plataformas de empréstimo, incluindo a Aave, e gerando temor sobre uma profundidade ainda desconhecida de contágio.

Embora não seja inteiramente específico ao cripto, com este último ataque à Vercel, abril está se mostrando um dos piores meses para exploits em cripto neste ano, já que o mês começou com o protocolo de perpétuos baseado em Solana Drift sendo drenado por cerca de US$ 285 milhões em um ataque posteriormente ligado a atores afiliados à Coreia do Norte, e pelo menos uma dúzia de protocolos menores foram explorados nas semanas seguintes, incluindo CoW Swap, Zerion, Rhea Finance e Silo Finance.

Isenção de responsabilidade sobre IA: Partes deste artigo foram geradas com a ajuda de ferramentas de IA e revisadas por nossa equipe editorial para garantir a precisão e a conformidade com nossos padrões. Para obter mais informações, consulte Política de IA completa da CoinDesk.
QR 2 Square Logo

Digital assets posted a third consecutive quarter of losses in Q2 2026, the longest losing streak since the 2022 bear market, as institutional capital rotated into AI equities and Bitcoin ETFs recorded their largest quarterly outflow since launch. Our report examines what drove the divergence, where structural adoption continued regardless, and what Q3 signals to watch.

Por que é importante:

Digital assets posted a third consecutive quarter of losses in Q2 2026, the longest losing streak since the 2022 bear market, as institutional capital rotated into AI equities and Bitcoin ETFs recorded their largest quarterly outflow since launch. Our report examines what drove the divergence, where structural adoption continued regardless, and what Q3 signals to watch.