Vercel 披露可能暴露客户 API 密钥的安全漏洞,促使加密项目之间进行紧急凭证轮换。此次泄露源于与第三方 AI 工具 Context.ai 关联的 Google Workspace 连接遭到破坏。 Vercel 澄清说,敏感的环境变量被安全存储,没有未经授权访问的证据。
该事件意义重大,因为 Vercel 支持许多 Web3 应用程序,包括钱包界面和仪表板。加密领域的许多团队,特别是那些使用 Vercel 作为前端基础设施的团队,现在正在检查其代码是否存在漏洞。总部位于 Solana 的交易所 Orca 确认,作为预防措施,它已轮换所有部署凭证,同时向用户保证其链上协议和资金不受影响。
该公司指出,黑客可能访问了可能导致 API 密钥泄露的后端配置。 API 密钥对于将应用程序连接到关键服务至关重要。一个网络犯罪论坛声称以 200 万美元的价格提供 Vercel 数据,包括访问密钥和源代码,但 Vercel 尚未证实这些说法的真实性,并正在与执法和事件响应公司合作进一步调查。
Vercel 的首席执行官表示,此次漏洞是通过员工使用 Context.ai 造成的,攻击者可以升级对 Vercel 内部环境的访问权限。尽管此次泄露存在潜在影响,但 Vercel 坚称,其存储敏感数据的方法迄今为止已保护其免遭泄露。
Vercel 泄露的时间恰逢 Kelp DAO 的 rsETH 代币被利用 2.92 亿美元,引发了 Aave 等去中心化金融平台的流动性紧缩。 4 月是加密货币领域动荡的一个月,其中出现了重大漏洞,其中包括对基于 Solana 的 Drift 协议的价值 2.85 亿美元的攻击,该协议被怀疑与朝鲜行为者有关。
LayerZero 发现,价值 2.9 亿美元的 Kelp DAO 漏洞源于 Kelp 选择使用单验证者配置,这与多验证者的建议相反。攻击者破坏了两个 RPC 节点,并利用 Kelp 架构中的漏洞进行了 DDoS 攻击。
<小时/>
