这类供应链漏洞难以被传统安全监控识别，因为它利用的是受信任的整合服务而非直接的代码漏洞。开发者 Theo Browne 指出，受影响最严重的是 Vercel 内部与 Linear 和 GitHub 的整合。攻击者可能存取的信息包括：存取密钥、源代码、数据库记录及部署凭证（包括 NPM 和 GitHub 令牌）。事件归属目前尚不明确；有报道称卖家曾向 Vercel 索取赎金，但谈判细节未获披露。

加密前端的特殊风险：托管层攻击 vs. 传统 DNS 劫持

此次事件凸显了加密前端安全中长期被忽视的攻击面：

两种攻击模式的关键差异

DNS 层劫持：攻击者将用户重定向至仿冒网站，通常可通过监控工具相对快速侦测

托管层（Build Pipeline）入侵：攻击者直接修改交付给用户的前端代码，用户访问的是正确域名，但可能在毫不知情的情况下运行恶意代码

在 Vercel 环境中，若环境变量未被标记为“sensitive”，可能遭到泄露。对于加密协议而言，这些变量通常包含 API 密钥、私有 RPC 端点和部署凭证等关键信息。一旦泄露，攻击者可能篡改部署版本、注入恶意代码，或存取后端服务以进行更广泛的攻击。Vercel 已敦促客户立即审查环境变量并启用平台的敏感变量保护功能。

对 Web3 安全的启示：供应链依赖正在成为系统性风险

此次事件不仅影响 Orca，更向整个 Web3 社群揭示了一个更深层的结构性问题：加密项目对集中式云端基础设施和 AI 整合服务的依赖，正在形成难以防御的新攻击面。当任何受信任的第三方服务遭到入侵时，攻击者可绕过传统安全防线直接影响用户。加密前端安全已超出 DNS 保护和智能合约审计的范畴，云端平台、CI/CD 管线和 AI 整合的全面安全管理，正成为 Web3 项目不可忽视的防御层级。

常见问题

此次 Vercel 安全事件对使用 Vercel 的加密项目有何影响？

Vercel 表示受影响客户数量有限，平台服务未中断。但由于大量 DeFi 前端、DEX 界面和钱包连接页面托管于 Vercel，项目方被建议立即审查环境变量、轮替可能泄露的密钥，并确认部署凭证（包括 NPM 和 GitHub 令牌）的安全状态。

“环境变量泄露”在加密前端中意味着什么具体风险？

环境变量通常存储 API 密钥、私有 RPC 端点和部署凭证等敏感信息。若这些值泄露，攻击者可能篡改前端部署、注入恶意代码（例如伪造的钱包授权请求），或存取后端连接服务以进行更广泛的攻击，同时用户访问的域名表面上仍显示正常。

Orca 用户的资金是否受到此次 Vercel 事件的影响？

Orca 明确确认，其链上协议和用户资金未受影响。此次密钥轮替是出于谨慎考量的预防措施，并非基于已确认的资金损失。由于 Orca 采用非托管架构，即便前端遭受影响，链上资产的所有权控制权仍由用户本人掌握。

免责声明：本页面信息可能来自第三方，不代表 Gate 的观点或意见。页面显示的内容仅供参考，不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证，对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为，价格波动剧烈，您可能损失全部投资本金。请充分了解相关风险，并根据自身财务状况和风险承受能力谨慎决策。具体内容详见声明。

请注意签署内容！Vercel 遭勒索 200 万美元，加密协议前端安全拉响警报

地缘政治安全事件

云端开发平台 Vercel 于 4 月 19 日遭黑客入侵，攻击者通过员工使用的第三方 AI 工具取得访问权限，并威胁勒索 200 万美元。虽然敏感数据未被访问，但其他数据可能已被利用。该事件引发加密社区的安全担忧，Vercel 目前正在进行调查并建议用户更换密钥。

鏈新聞abmedia1小时前

KelpDAO 在 Lazarus Group 的 LayerZero 攻击中损失了 $290M

安全事件平台风险

KelpDAO 由于与“拉撒路组织”相关的一次复杂安全漏洞遭遇了 $290 百万损失。该攻击利用其验证系统中的配置弱点，并凸显了依赖单一节点验证方案的风险。行业专家强调，需要改进安全配置并采用多层级验证，以防止未来发生类似事件。

Crypto Frontier2小时前

LayerZero 响应 Kelp DAO 2.92 亿事件：指 Kelp 自选 1-of-1 DVN 配置，黑客为北韩 Lazarus

地缘政治执法行动安全事件

LayerZero 针对 Kelp DAO 2.92 亿美元遭駭事件发表声明，指责 Kelp 自选 1-of-1 DVN 配置使事件成为可能，攻击者为北韩 Lazarus 集团。LayerZero 强调此事件源于配置选择，并将不再支持此类脆弱设置。此外，责任归属仍存争议，未提供赔偿方案。

鏈新聞abmedia2小时前

DeFi 黑客4月盗走6亿美元，Kelp DAO和Drift占月度损失95%

安全事件行业报告

2026 年 4 月仅 20 天内，加密协议因黑客攻击损失超过 6.06 亿美元，成为自 2025 年 2 月交易所 14 亿美元数据泄露事件以来最严峻的单月损失记录。KelpDAO 和 Drift Protocol 两起攻击合计占 4 月损失的 95%，以及 2026 年截至目前 7.718 亿美元总损失的 75%。

Market Whisper2小时前

Vercel遭入侵事件与AI工具Context.ai遭攻破有关：对加密前端带来风险

安全事件

Vercel证实发生了由被入侵的AI工具导致的安全漏洞，进而导致窃取员工和客户数据。该事件对Web3生态系统构成风险，而攻击者正试图以 $2 百万美元的价格出售被盗数据。Vercel正在与执法部门及事件响应专家一起处理此情况。

GateNews2小时前

Ripple 首席技术官：Kelp DAO 被利用事件反映了桥安全性的权衡取舍

安全事件平台风险

Ripple 首席技术官名誉退休（CTO Emeritus）David Schwartz 在 $292 百万 Kelp DAO 被利用事件之后，分析了桥接安全漏洞。他指出，服务提供商优先考虑便利性而不是强健的安全性，从而削弱了关键的防护功能。Kelp DAO 的泄露源于私钥泄露，并且在其 LayerZero 实现中使用了简化的安全配置而被进一步加剧。

Crypto Frontier5小时前

0/400

暂无评论