A exchange descentralizada Orca anunciou em 20 de abril que concluiu uma substituição completa de chaves e credenciais em relação a um incidente de segurança na plataforma de desenvolvimento em nuvem Vercel, confirmando que seus contratos on-chain e os fundos dos usuários não foram afetados. A Vercel divulgou no domingo que o invasor obteve acesso a parte dos sistemas internos da plataforma por meio de uma ferramenta de IA de terceiros que integra o Google Workspace OAuth.
Caminho da invasão: vulnerabilidade de supply chain de IA OAuth, não um ataque direto ao próprio Vercel
(Fonte: Vercel)
A rota de ataque deste incidente não foi direcionada diretamente à Vercel, mas sim a uma ferramenta de IA de terceiros que havia sido comprometida em um evento de segurança anterior e de maior escala, usando as permissões de acesso via integração do Google Workspace OAuth para acessar os sistemas internos da Vercel. A Vercel afirmou que essa ferramenta anteriormente havia afetado centenas de usuários de várias organizações.
Esse tipo de vulnerabilidade de supply chain é difícil de ser identificado por monitoramento de segurança tradicional, porque explora serviços de integração confiáveis em vez de falhas diretas no código. O desenvolvedor Theo Browne apontou que a integração interna da Vercel com a Linear e o GitHub foi a mais afetada. As informações que o invasor poderia acessar incluem: chaves de acesso, código-fonte, registros de banco de dados e credenciais de implantação (incluindo tokens da NPM e do GitHub). A atribuição do incidente ainda não está clara; há relatos de que o vendedor teria solicitado resgate à Vercel, mas os detalhes das negociações não foram divulgados.
Riscos específicos da segurança em front-end criptográfico: ataque na camada de hospedagem vs. sequestro tradicional de DNS
Este incidente destaca uma superfície de ataque de longa data que foi negligenciada na segurança do front-end criptográfico:
Principais diferenças entre dois modos de ataque
Sequestro na camada de DNS: o invasor redireciona os usuários para um site falso, normalmente podendo ser detectado relativamente rápido por meio de ferramentas de monitoramento
Intrusão na camada de hospedagem (Build Pipeline): o invasor modifica diretamente o código de front-end entregue aos usuários; os usuários acessam o domínio correto, mas podem executar código malicioso sem perceber
No ambiente da Vercel, se as variáveis de ambiente não forem marcadas como “sensitive”, elas podem vazar. Para protocolos criptográficos, essas variáveis normalmente contêm informações críticas, como chaves de API, endpoints privados de RPC e credenciais de implantação. Uma vez vazadas, o invasor pode adulterar as versões implantadas, injetar código malicioso ou acessar serviços de back-end para realizar ataques mais amplos. A Vercel já incentivou os clientes a revisarem imediatamente as variáveis de ambiente e a habilitarem os recursos de proteção de variáveis sensíveis da plataforma.
Lições para a segurança do Web3: dependência de supply chain está virando um risco sistêmico
Este incidente não afetou apenas a Orca; ele também revelou para toda a comunidade Web3 um problema estrutural mais profundo: a dependência de projetos criptográficos de infraestrutura de nuvem centralizada e serviços de integração de IA está criando novas superfícies de ataque difíceis de defender. Quando qualquer serviço de terceiros confiável é comprometido, o invasor pode contornar as defesas tradicionais de segurança e impactar os usuários diretamente. A segurança do front-end criptográfico já ultrapassou o escopo de proteção de DNS e auditorias de contratos inteligentes; a gestão abrangente de segurança de plataformas em nuvem, pipelines de CI/CD e integrações de IA está se tornando uma camada de defesa que projetos Web3 não podem ignorar.
Perguntas frequentes
Qual foi o impacto deste incidente de segurança da Vercel para projetos criptográficos que usam Vercel?
A Vercel afirma que o número de clientes afetados é limitado e que os serviços da plataforma não foram interrompidos. Porém, como muitos front-ends DeFi, interfaces de DEX e páginas de conexão de carteiras são hospedados na Vercel, as equipes do projeto foram aconselhadas a revisar imediatamente as variáveis de ambiente, trocar quaisquer chaves que possam ter vazado e confirmar o status de segurança das credenciais de implantação (incluindo tokens da NPM e do GitHub).
O que significa, de forma concreta, “vazamento de variáveis de ambiente” no front-end criptográfico?
Variáveis de ambiente normalmente armazenam informações sensíveis, como chaves de API, endpoints privados de RPC e credenciais de implantação. Se esses valores vazarem, o invasor pode adulterar as implantações do front-end, injetar código malicioso (por exemplo, solicitações de autorização de carteira falsificadas) ou acessar serviços de conexão de back-end para realizar um ataque mais amplo, e o domínio que os usuários visitam ainda parece normal de forma superficial.
Os fundos dos usuários da Orca foram afetados por este incidente da Vercel?
A Orca confirmou claramente que seus contratos on-chain e os fundos dos usuários não foram afetados. Esta substituição de chaves foi uma medida preventiva por precaução, e não baseada em perdas de fundos confirmadas. Como a Orca adota uma arquitetura não custodial, mesmo que o front-end seja afetado, o controle de propriedade dos ativos on-chain continua nas mãos do próprio usuário.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
Ataque de Phishing no Ethereum Drena $585K De Quatro Usuários, Uma Única Vítima Perde $221K WBTC
Um ataque coordenado de phishing no Ethereum drenou US$ 585.000 de quatro vítimas, explorando permissões do usuário por meio de um link enganoso. Este incidente destaca a perda rápida de fundos via engenharia social, mesmo sob a aparência de legitimidade.
GateNews1h atrás
Atenção ao conteúdo da assinatura! A Vercel foi alvo de ransomware por US$ 2 milhões; o alerta é acionado para a segurança do front-end de um protocolo cripto
A plataforma de desenvolvimento em nuvem Vercel sofreu uma invasão de hackers em 19 de abril; os atacantes obtiveram acesso por meio de uma ferramenta de IA de terceiros usada pelos funcionários e ameaçaram extorquir 2 milhões de dólares. Embora dados sensíveis não tenham sido acessados, outros dados podem já ter sido explorados. O incidente gerou preocupações de segurança na comunidade cripto; a Vercel está atualmente conduzindo uma investigação e recomendando que os usuários troquem as chaves.
ChainNewsAbmedia2h atrás
O KelpDAO perde $290M no ataque da camada Lazarus Group LayerZero
O KelpDAO enfrentou uma perda de $290 milhões devido a uma violação de segurança sofisticada ligada ao Grupo Lazarus. O ataque explorou fraquezas de configuração em seu sistema de verificação e destacou os riscos de depender de uma configuração de verificação em ponto único. Especialistas do setor enfatizam a necessidade de aprimorar as configurações de segurança e de usar verificações em múltiplas camadas para impedir incidentes futuros.
CryptoFrontier3h atrás
LayerZero responde ao evento de US$ 292 milhões do Kelp DAO: indica que a Kelp configurou um DVN 1-de-1 de escolha própria, e o invasor é o Lazarus da Coreia do Norte
LayerZero emitiu um comunicado sobre o ataque ao Kelp DAO que causou prejuízos de US$ 292 milhões, acusando que a escolha do Kelp por uma configuração DVN 1-of-1 personalizada tornou o incidente possível, e que o atacante foi o grupo Lazarus da Coreia do Norte. A LayerZero enfatizou que este caso decorre de decisões de configuração e que não dará mais suporte a esse tipo de configuração vulnerável. Além disso, ainda há controvérsia sobre a responsabilização, sem que seja apresentado um plano de reembolso.
ChainNewsAbmedia3h atrás
Hackers de DeFi roubam US$ 600 milhões em abril; Kelp DAO e Drift respondem por 95% das perdas mensais
Em abril de 2026, apenas dentro de 20 dias, acordos cripto registraram perdas superiores a US$ 606 milhões devido a ataques de hackers, tornando-se o pior recorde de perdas mensais desde o incidente de vazamento de dados de US$ 1,4 bilhão em fevereiro de 2025 envolvendo exchanges. Os dois ataques, KelpDAO e Drift Protocol, somaram 95% das perdas de abril, e 75% das perdas totais de US$ 771,8 milhões até o momento em 2026.
MarketWhisper3h atrás
Violação da Vercel Ligada à Ferramenta de IA Context.ai Comprometimento Eleva Risco para Frontends de Cripto
A Vercel confirmou uma violação de segurança causada por uma ferramenta de IA comprometida, levando ao roubo de dados de funcionários e clientes. O incidente representa riscos para o ecossistema Web3, e o atacante está tentando vender os dados roubados por $2 milhões. A Vercel está lidando com a situação junto às autoridades policiais e especialistas em resposta a incidentes.
GateNews4h atrás
