這種供應鏈漏洞難以被傳統安全監控識別，因為它利用的是受信任的整合服務而非直接的程式碼漏洞。開發者 Theo Browne 指出，受影響最嚴重的是 Vercel 內部與 Linear 和 GitHub 的整合。攻擊者可能存取的資訊包括：存取金鑰、原始程式碼、資料庫記錄及部署憑證（包括 NPM 和 GitHub 令牌）。事件歸屬目前尚不明確；有報道稱賣家曾向 Vercel 索取贖金，但談判詳情未獲披露。

加密前端的特殊風險：託管層攻擊 vs. 傳統 DNS 劫持

此次事件凸顯了加密前端安全中長期被忽視的攻擊面：

兩種攻擊模式的關鍵差異

DNS 層劫持：攻擊者將用戶重定向至仿冒網站，通常可透過監控工具相對快速偵測

託管層（Build Pipeline）入侵：攻擊者直接修改交付給用戶的前端程式碼，用戶訪問的是正確域名，但可能在毫不知情的情況下運行惡意代碼

在 Vercel 環境中，若環境變數未被標記為「sensitive」，可能遭到洩露。對加密協議而言，這些變數通常包含 API 金鑰、私有 RPC 端點和部署憑證等關鍵信息。一旦洩露，攻擊者可能篡改部署版本、注入惡意代碼，或存取後端服務進行更廣泛的攻擊。Vercel 已敦促客戶立即審查環境變數並啟用平台的敏感變數保護功能。

對 Web3 安全的啟示：供應鏈依賴正成為系統性風險

此次事件不僅影響 Orca，更向整個 Web3 社群揭示了一個更深層的結構性問題：加密項目對集中式雲端基礎設施和 AI 整合服務的依賴，正在形成難以防禦的新攻擊面。當任何受信任的第三方服務遭到入侵時，攻擊者可繞過傳統安全防線直接影響用戶。加密前端安全已超出 DNS 保護和智能合約審計的範疇，雲端平台、CI/CD 管線和 AI 整合的全面安全管理，正成為 Web3 項目不可忽視的防禦層級。

常見問題

此次 Vercel 安全事件對使用 Vercel 的加密項目有何影響？

Vercel 表示受影響客戶數量有限，平台服務未中斷。但由於大量 DeFi 前端、DEX 界面和錢包連接頁面託管於 Vercel，項目方被建議立即審查環境變數、輪替可能洩露的密鑰，並確認部署憑證（包括 NPM 和 GitHub 令牌）的安全狀態。

「環境變數洩露」在加密前端中意味著什麼具體風險？

環境變數通常儲存 API 金鑰、私有 RPC 端點和部署憑證等敏感信息。若這些值洩露，攻擊者可能篡改前端部署、注入惡意代碼（例如偽造的錢包授權請求），或存取後端連接服務進行更廣泛的攻擊，且用戶訪問的域名表面上仍顯示正常。

Orca 用戶的資金是否受到此次 Vercel 事件的影響？

Orca 明確確認，其鏈上協議和用戶資金未受影響。此次金鑰輪替是出於謹慎考慮的預防措施，並非基於已確認的資金損失。由於 Orca 採取非託管架構，即使前端遭受影響，鏈上資產的所有權控制權仍由用戶本人掌握。

免責聲明：本頁面資訊可能來自第三方，不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考，不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證，對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為，價格波動劇烈，您可能損失全部投資本金。請充分了解相關風險，並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見聲明。

留意簽署內容！Vercel 遭駭勒索 200 萬美元，加密協議前端安全拉警報

地緣政治安全事件

雲端開發平台 Vercel 於 4 月 19 日遭駭客入侵，攻擊者透過員工使用的第三方 AI 工具取得存取權限，並威脅勒索 200 萬美元。雖然敏感數據未被存取，但其他數據可能已遭利用。該事件引發加密社群的安全擔憂，Vercel 目前正進行調查並建議用戶更換金鑰。

鏈新聞abmedia1小時前

KelpDAO 在 Lazarus 集團的 LayerZero 攻擊中失去 $290M

安全事件平台風險

KelpDAO 由於與 Lazarus Group 相關的複雜資安入侵而遭受 $290 百萬美元損失。此次攻擊利用其驗證系統中的設定弱點，並凸顯了倚賴單一點驗證架構的風險。產業專家強調需要強化安全設定與採用多層次驗證，以防止未來再次發生類似事件。

Crypto Frontier2小時前

LayerZero 回應 Kelp DAO 2.92 億事件：指 Kelp 自選 1-of-1 DVN 配置，駭客為北韓 Lazarus

地緣政治執法行動安全事件

LayerZero 針對 Kelp DAO 2.92 億美元遭駭事件發表聲明，指責 Kelp 自選 1-of-1 DVN 配置使事件成為可能，攻擊者為北韓 Lazarus 集團。LayerZero 強調此事件源於配置選擇，並將不再支持此類脆弱設置。此外，責任歸屬仍存爭議，未提供賠償方案。

鏈新聞abmedia2小時前

DeFi 駭客 4 月盜走 6 億美元，Kelp DAO 和 Drift 佔月度損失 95%

安全事件行業報告

2026 年 4 月僅 20 天內，加密協議因駭客攻擊損失超過 6.06 億美元，成為自 2025 年 2 月交易所 14 億美元資料外洩事件以來最嚴峻的單月損失紀錄。KelpDAO 和 Drift Protocol 兩起攻擊合計佔 4 月損失的 95%，以及 2026 年截至目前 7.718 億美元總損失的 75%。

Market Whisper2小時前

Vercel 遭入侵事件與 AI 工具 Context.ai 被入侵相關：對加密前端帶來風險

安全事件

Vercel 確認了一起安全漏洞事件，原因是遭受入侵的 AI 工具導致，進而竊取了員工與客戶資料。此事件對 Web3 生態系構成風險，而攻擊者正試圖以 $2 百萬美元出售被竊資料。Vercel 正與執法機構及事件回應專家處理此事。

GateNews2小時前

瑞波首席技術官：Kelp DAO 被利用事件反映了跨鏈橋安全性的取捨

安全事件平台風險

Ripple 的首席技術官名譽（CTO Emeritus）David Schwartz 分析了在 $292 百萬 Kelp DAO 被攻擊之後的橋接安全漏洞。他指出，供應商在優先考量便利性而非強健的安全性，削弱了必需的保護功能。Kelp DAO 遭到入侵的原因在於私鑰洩漏，並因其在 LayerZero 實作中的簡化安全設定而被進一步惡化。

Crypto Frontier5小時前

留言

0/400

暫無留言