Децентралізована біржа Orca 20 квітня оголосила, що завершила повну ротацію ключів і облікових даних у межах безпекової події для хмарної розробницької платформи Vercel, підтвердивши, що її on-chain угоди та кошти користувачів не зазнали впливу. У неділю Vercel повідомила, що зловмисники отримали доступ до частини внутрішніх систем платформи через сторонній AI-інструмент, який інтегрується з Google Workspace OAuth.
Шлях проникнення: вразливість AI OAuth у ланцюжку постачання, а не прямий напад на сам Vercel
(Джерело: Vercel)
Шлях атаки в цій події не спрямований безпосередньо на Vercel, а реалізується через сторонній AI-інструмент, який раніше вже був зламаний у більш масштабній безпековій події, використовуючи його дозволи для доступу, отримані завдяки інтеграції Google Workspace OAuth, щоб дістатися внутрішніх систем Vercel. Vercel зазначає, що цей інструмент раніше вже впливав на сотні користувачів у багатьох організаціях.
Такі вразливості ланцюжка постачання складно виявити за допомогою традиційного безпекового моніторингу, оскільки вони використовують довірені інтеграційні сервіси, а не безпосередні вразливості в коді. Розробник Theo Browne вказав, що найбільшою мірою постраждали внутрішні інтеграції Vercel з Linear та GitHub. Інформація, до якої потенційно могли отримати доступ зловмисники, включає: доступні ключі, початковий код, записи в базі даних і дані для розгортання (зокрема токени NPM та GitHub). Наразі належність інциденту ще не визначено; є повідомлення, що продавець звертався до Vercel із вимогою викупу, але деталі переговорів не розголошено.
Особливі ризики для безпечного фронтенду: атака на рівні хостингу vs. традиційний захоплення DNS
Ця подія підкреслила вразливий для безпекового фронтенду сектор, який довго залишався поза увагою:
Ключові відмінності між двома режимами атак
Захоплення на рівні DNS: атакувальник перенаправляє користувачів на підроблені сайти; зазвичай це можна відносно швидко виявити за допомогою інструментів моніторингу
Проникнення на рівні хостингу (Build Pipeline): атакувальник безпосередньо змінює код фронтенду, який постачається користувачам; користувачі відвідують правильний домен, але можуть непомітно для себе виконувати шкідливий код
У середовищі Vercel, якщо змінні середовища не позначені як «sensitive», їх можуть витікати. Для криптопротоколів ці змінні зазвичай містять критично важливу інформацію, зокрема API-ключі, приватні RPC-ендпоїнти та дані для розгортання. Якщо ці дані витікають, атакувальники можуть підміняти версії розгортання, вбудовувати шкідливий код або отримувати доступ до бекенд-сервісів для більш масштабної атаки. Vercel закликав клієнтів негайно переглянути змінні середовища та увімкнути функцію захисту чутливих змінних платформи.
Висновки для безпеки Web3: залежність від ланцюжка постачання стає системним ризиком
Ця подія впливає не лише на Orca, а й показує всьому Web3-співтовариству глибшу структурну проблему: залежність криптопроєктів від централізованої хмарної інфраструктури та сервісів AI-інтеграції формує нову, яку важко обороняти, поверхню атак. Коли будь-який довірений третій сервіс зазнає компрометації, атакувальники можуть обійти традиційні рубежі безпеки й безпосередньо вплинути на користувачів. Безпека криптофронтенду вже виходить за межі захисту DNS і аудитів смартконтрактів; повноцінне безпечне управління хмарними платформами, CI/CD-конвеєрами та AI-інтеграціями стає рівнем оборони, який Web3-проєкти не можуть ігнорувати.
Поширені запитання
Який вплив ця безпекова подія Vercel має на криптопроєкти, що використовують Vercel?
Vercel повідомляє, що кількість постраждалих клієнтів обмежена, а робота сервісів платформи не була зупинена. Однак оскільки багато DeFi-фронтендів, DEX-інтерфейсів і сторінок підключення гаманців розміщені на Vercel, проєктам рекомендують негайно перевірити змінні середовища, здійснити ротацію ключів, які могли бути розкриті, та підтвердити безпечний стан облікових даних для розгортання (зокрема токенів NPM і GitHub).
Що саме означає «витік змінних середовища» для криптофронтенду з погляду ризиків?
Змінні середовища зазвичай зберігають конфіденційні дані, зокрема API-ключі, приватні RPC-ендпоїнти та облікові дані для розгортання. Якщо ці значення витікають, атакувальники можуть підміняти розгортання фронтенду, вбудовувати шкідливий код (наприклад, підроблені запити авторизації гаманця) або отримувати доступ до сервісів підключення бекенду для більш широкомасштабної атаки, а домен, який бачить користувач, при цьому на вигляд лишається нормальним.
Чи постраждали кошти користувачів Orca від цієї події Vercel?
Orca чітко підтвердила, що її on-chain угоди та кошти користувачів не зазнали впливу. Ця ротація ключів була вжита з міркувань обережності як профілактичний крок, а не на підставі підтверджених втрат коштів. Оскільки Orca використовує некастодіальну архітектуру, навіть якщо фронтенд зазнав би впливу, контроль власності on-chain активів усе одно залишається в руках самого користувача.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Зверніть увагу на підписані документи! Vercel зазнав вимагання 2 мільйони доларів, криптовалютний протокол піднімає тривогу через безпеку фронтенду
Хмарна платформа розробки Vercel 19 квітня зазнала злому: зловмисники отримали доступ через сторонній інструмент ШІ, яким користуються працівники, та висунули вимогу про викуп у розмірі 2 мільйони доларів США. Хоча доступу до конфіденційних даних не було, інші дані, імовірно, могли бути використані. Ця подія викликала занепокоєння безпекою в криптоспільноті; Vercel наразі проводить розслідування та рекомендує користувачам змінити ключі.
ChainNewsAbmedia1год тому
KelpDAO втрачає $290M у атакі LayerZero у межах групи Lazarus
KelpDAO зіткнувся з $290 мільйонними збитками через витончене порушення безпеки, пов’язане з групою Lazarus. Атака використала вразливості в конфігурації їхньої системи верифікації та підкреслила ризики покладатися на налаштування верифікації з єдиною точкою відмови. Експерти галузі наголошують на необхідності вдосконалити налаштування безпеки та запровадити багаторівневу верифікацію, щоб запобігти майбутнім інцидентам.
CryptoFrontier2год тому
LayerZero відповідає на подію на 292 млн Kelp DAO: вказано, що Kelp налаштував 1 із 1 (1-of-1) DVN у власному виборі, а хакер — північнокорейська група Lazarus
LayerZero опублікувала заяву щодо інциденту із викраденням 2,92 млрд доларів США, пов’язаного з Kelp DAO, звинувативши, що власноруч обрана Kelp конфігурація 1-of-1 DVN зробила подію можливою, а нападником є північнокорейська група Lazarus. LayerZero підкреслює, що цей інцидент стався через вибір конфігурації, і більше не підтримуватиме такі вразливі налаштування. Крім того, відповідальність досі залишається предметом суперечок, і жодного плану компенсації не надано.
ChainNewsAbmedia2год тому
Хакери DeFi у квітні викрали 600 мільйонів доларів, Kelp DAO та Drift становлять 95% щомісячних збитків
У квітні 2026 року, лише за 20 днів, криптографічні протоколи через хакерські атаки втратили понад 606 мільйонів доларів США, ставши найтяжчим місячним показником збитків з моменту події з витоком даних на 1,4 мільярда доларів США з боку біржі у лютому 2025 року. Дві атаки — KelpDAO та Drift Protocol — у сумі становлять 95% втрат за квітень, а також 75% від загальних втрат у розмірі 771,8 мільйона доларів США станом на сьогодні у 2026 році.
MarketWhisper2год тому
Порушення в Vercel пов’язують із компрометацією AI-інструмента Context.ai: зростає ризик для криптографічних фронтендів
Vercel підтвердив порушення безпеки, спричинене скомпрометованим інструментом ШІ, що призвело до викрадення даних співробітників і клієнтів. Інцидент створює ризики для екосистеми Web3, а зловмисник намагається продати вкрадені дані за $2 мільйон. Vercel вирішує ситуацію разом із правоохоронними органами та експертами з реагування на інциденти.
GateNews2год тому
Керівник відділу технічних розробок Ripple: Експлойт Kelp DAO відображає компроміси в безпеці мостів
Девід Шварц, почесний технічний директор (CTO Emeritus) Ripple, проаналізував вразливості безпеки мостів після експлойту Kelp DAO на $292 мільйонів. Він зазначив, що провайдери віддавали перевагу зручності над надійною безпекою, підриваючи ключові захисні можливості. Злом Kelp DAO стався через витік приватного ключа, що було посилено спрощеною конфігурацією безпеки в їхній реалізації LayerZero.
CryptoFrontier5год тому
