Pertukaran terdesentralisasi Orca pada 20 April mengumumkan bahwa pihaknya telah menyelesaikan rotasi penuh kunci dan kredensial terkait insiden keamanan pada platform pengembangan berbasis cloud Vercel, mengonfirmasi bahwa perjanjian di blockchain dan dana pengguna tidak terdampak. Vercel mengungkapkan pada hari Minggu bahwa pelaku mengakses sebagian sistem internal platform melalui sebuah alat AI pihak ketiga yang terintegrasi dengan Google Workspace OAuth.
Jalur Penyusupan: Celah Rantai Pasok AI OAuth, bukan Serangan Langsung terhadap Vercel
(Sumber: Vercel)
Jalur serangan dalam peristiwa ini bukanlah menargetkan Vercel secara langsung, melainkan melalui sebuah alat AI pihak ketiga yang telah disusupi dalam insiden keamanan yang lebih besar sebelumnya, menggunakan izin integrasi Google Workspace OAuth untuk mengakses sistem internal Vercel. Vercel menyatakan bahwa alat tersebut sebelumnya telah berdampak pada ratusan pengguna di banyak institusi.
Kerentanan rantai pasok seperti ini sulit dikenali oleh pemantauan keamanan tradisional, karena yang dimanfaatkan adalah layanan integrasi tepercaya, bukan celah kode secara langsung. Pengembang Theo Browne menunjukkan bahwa yang paling parah terdampak adalah integrasi internal Vercel dengan Linear dan GitHub. Informasi yang mungkin dapat diakses pelaku termasuk: kunci akses, kode sumber, catatan basis data, serta kredensial deployment (termasuk token NPM dan GitHub). Kategori kejadian ini saat ini belum jelas; ada laporan bahwa penjual pernah meminta tebusan kepada Vercel, tetapi rincian negosiasi tidak diungkapkan.
Risiko Khusus pada Frontend Terenkripsi: Serangan pada Lapisan Hosting vs. Pembajakan DNS Tradisional
Peristiwa ini menyoroti permukaan serangan pada keamanan frontend terenkripsi yang selama ini lama diabaikan:
Perbedaan Kunci dari Dua Pola Serangan
Pembajakan Lapisan DNS: penyerang mengarahkan ulang pengguna ke situs palsu; biasanya dapat dideteksi relatif cepat melalui alat pemantauan
Intrusi Lapisan Hosting (Build Pipeline): penyerang secara langsung memodifikasi kode frontend yang dikirimkan kepada pengguna; pengguna mengakses domain yang benar, tetapi bisa saja menjalankan kode berbahaya tanpa disadari
Di lingkungan Vercel, jika variabel lingkungan tidak ditandai sebagai “sensitive”, variabel tersebut dapat bocor. Bagi protokol enkripsi, variabel-variabel ini biasanya berisi informasi penting seperti kunci API, endpoint RPC privat, dan kredensial deployment. Jika bocor, penyerang dapat memanipulasi versi deployment, menyuntikkan kode berbahaya, atau mengakses layanan backend untuk melakukan serangan yang lebih luas. Vercel telah mendesak pelanggan untuk segera meninjau variabel lingkungan dan mengaktifkan fitur perlindungan variabel sensitif di platform tersebut.
Pelajaran bagi Keamanan Web3: Ketergantungan pada Rantai Pasok Kini Menjadi Risiko Sistematis
Peristiwa ini tidak hanya berdampak pada Orca, tetapi juga mengungkapkan masalah struktural yang lebih dalam bagi seluruh komunitas Web3: ketergantungan proyek enkripsi pada infrastruktur cloud terpusat dan layanan integrasi AI, sedang membentuk permukaan serangan baru yang sulit dipertahankan. Ketika layanan pihak ketiga tepercaya disusupi, penyerang dapat melewati perlindungan keamanan tradisional dan langsung memengaruhi pengguna. Keamanan frontend terenkripsi telah melampaui cakupan perlindungan DNS dan audit smart contract; manajemen keamanan menyeluruh untuk platform cloud, pipeline CI/CD, dan integrasi AI kini menjadi lapisan pertahanan yang tidak boleh diabaikan bagi proyek Web3.
Pertanyaan Umum
Apa dampak insiden keamanan Vercel ini terhadap proyek kripto yang menggunakan Vercel?
Vercel menyatakan jumlah pelanggan yang terdampak terbatas, dan layanan platform tidak mengalami gangguan. Namun karena banyak frontend DeFi, antarmuka DEX, serta halaman koneksi dompet dihosting di Vercel, pihak proyek disarankan untuk segera meninjau variabel lingkungan, mengganti kunci yang mungkin saja bocor, dan memastikan status keamanan kredensial deployment (termasuk token NPM dan GitHub).
Apa risiko spesifik yang dimaksud dengan “kebocoran variabel lingkungan” pada frontend kripto?
Variabel lingkungan biasanya menyimpan informasi sensitif seperti kunci API, endpoint RPC privat, dan kredensial deployment. Jika nilai-nilai ini bocor, penyerang dapat memanipulasi deployment frontend, menyuntikkan kode berbahaya (misalnya permintaan otorisasi dompet palsu), atau mengakses layanan koneksi backend untuk melakukan serangan yang lebih luas, sementara domain yang dikunjungi pengguna tetap terlihat normal.
Apakah dana pengguna Orca terdampak oleh peristiwa Vercel ini?
Orca secara tegas mengonfirmasi bahwa perjanjian di blockchain dan dana pengguna tidak terdampak. Rotasi kunci kali ini dilakukan sebagai langkah pencegahan dengan pertimbangan kehati-hatian, bukan berdasarkan kerugian dana yang sudah dikonfirmasi. Karena Orca menggunakan arsitektur non-custodial, meskipun frontend terkena dampak, kendali atas kepemilikan aset di blockchain tetap berada di tangan pengguna sendiri.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Serangan Phishing Ethereum Menguras $585K Dari Empat Pengguna, Satu Korban Kehilangan $221K WBTC
Sebuah serangan phishing Ethereum yang terkoordinasi menguras $585,000 dari empat korban, dengan mengeksploitasi izin pengguna melalui tautan yang menipu. Insiden ini menyoroti hilangnya dana secara cepat melalui rekayasa sosial, bahkan ketika tampak seolah sah.
GateNews1jam yang lalu
Perhatikan konten penandatanganan! Vercel terkena peretasan tebusan sebesar 2 juta dolar AS, keamanan frontend protokol kripto mendapat peringatan keras
Platform pengembangan cloud Vercel mengalami peretasan pada 19 April; pelaku memperoleh hak akses melalui alat AI pihak ketiga yang digunakan oleh karyawan, dan mengancam melakukan pemerasan sebesar 2 juta dolar AS. Meskipun data sensitif tidak diakses, data lain mungkin telah dimanfaatkan. Kejadian ini memicu kekhawatiran keamanan di komunitas kripto; Vercel saat ini sedang melakukan penyelidikan dan menyarankan pengguna untuk mengganti kunci.
ChainNewsAbmedia2jam yang lalu
KelpDAO Kehilangan $290M dalam Serangan LayerZero di Lapisan Lazarus Group
KelpDAO mengalami kerugian sebesar $290 juta akibat pelanggaran keamanan yang canggih terkait dengan Grup Lazarus. Serangan tersebut mengeksploitasi kelemahan konfigurasi pada sistem verifikasi mereka dan menyoroti risiko bergantung pada satu pengaturan verifikasi titik tunggal. Para ahli industri menekankan perlunya konfigurasi keamanan yang lebih baik dan verifikasi berlapis untuk mencegah insiden di masa mendatang.
CryptoFrontier3jam yang lalu
LayerZero menanggapi kejadian 2,92 miliar Kelp DAO: Kelp menetapkan konfigurasi DVN 1-of-1 pilihannya sendiri, peretasnya adalah Lazarus Korea Utara
LayerZero mengeluarkan pernyataan terkait insiden peretasan senilai 292 juta dolar AS yang menimpa Kelp DAO, menuduh bahwa konfigurasi Kelp yang memilih 1-of-1 DVN membuat insiden tersebut menjadi mungkin, dan pelakunya adalah grup Lazarus Korea Utara. LayerZero menegaskan bahwa insiden ini berasal dari pilihan konfigurasi, dan bahwa pihaknya tidak akan lagi mendukung pengaturan rentan seperti itu. Selain itu, tanggung jawab masih menjadi perdebatan, dan pihaknya tidak memberikan rencana kompensasi.
ChainNewsAbmedia3jam yang lalu
Peretas DeFi mencuri $600 juta pada bulan April; Kelp DAO dan Drift menyumbang 95% kerugian bulanan
Pada April 2026, hanya dalam 20 hari, protokol kripto mengalami kerugian lebih dari 606 juta USD akibat serangan peretas, menjadi rekor kerugian bulanan tunggal terberat sejak insiden kebocoran data senilai 1,4 miliar USD milik bursa pada Februari 2025. Dua serangan, KelpDAO dan Drift Protocol, secara gabungan menyumbang 95% dari kerugian April, serta 75% dari total kerugian hingga saat ini pada 2026 sebesar 771,8 juta USD.
MarketWhisper3jam yang lalu
Pelanggaran Vercel Terkait Alat AI Konteks.ai yang Dibobol Meningkatkan Risiko bagi Frontend Kripto
Vercel mengonfirmasi adanya pelanggaran keamanan yang disebabkan oleh alat AI yang telah dibobol, yang mengakibatkan pencurian data karyawan dan pelanggan. Insiden ini menimbulkan risiko bagi ekosistem Web3, dan pelaku berusaha menjual data curian tersebut seharga $2 juta. Vercel sedang menangani situasi ini bersama aparat penegak hukum dan pakar penanganan insiden.
GateNews4jam yang lalu
