Викуп у $2 мільйони та криптовалютна загроза безпеці — всередині злому Vercel

Коротко

• Vercel підтвердив несанкціонований доступ до внутрішніх систем через скомпрометований сторонній інструмент AI, Context.ai
• Хакер на BreachForums пропонує вкрадені дані Vercel за 2 мільйони доларів, включаючи API-ключі та вихідний код
• Багато проектів Web3 розміщують інтерфейси гаманців та фронтенди застосунків на Vercel, що викликає занепокоєння щодо безпеки
• Децентралізована біржа Solana Orca змінила всі облікові дані для розгортання як запобіжний захід; її он-чейн кошти не постраждали
• Vercel повідомляє, що "конфіденційні" змінні середовища були зашифровані і немає доказів їх отримання

Компанія веб-інфраструктури Vercel підтвердила порушення безпеки в неділю після того, як зловмисники отримали несанкціонований доступ до частин її внутрішніх систем. Компанія заявила, що постраждала обмежена кількість клієнтів і що її сервіси залишаються працездатними.

Порушення почалося через обліковий запис співробітника Vercel. Цей обліковий запис був скомпрометований через Context.ai, сторонній інструмент AI, який використовував співробітник. Звідти зловмисники перейшли через обліковий запис Google Workspace співробітника у внутрішні середовища Vercel.

Генеральний директор Vercel Гільєрмо Рауш описав зловмисників як "дуже досвідчених" і сказав, що вони рухалися зі швидкістю та глибоким знанням систем Vercel. Він додав, що підозрює, що AI міг допомогти зловмисникам рухатися швидше.

Рауш підтвердив, що всі змінні середовища клієнтів зберігаються в зашифрованому вигляді. Однак змінні, не позначені як "конфіденційні", могли бути перераховані зловмисником. Він рекомендував клієнтам переглянути свої змінні середовища та змінити будь-які, які не були позначені як конфіденційні.

Публікація на форумі кіберзлочинності BreachForums, пов'язана з групою під назвою ShinyHunters, стверджувала про продаж даних Vercel за 2 мільйони доларів. Список включав ключі доступу, вихідний код, записи баз даних та внутрішні токени розгортання. Ці заяви не були незалежно підтверджені. Члени, пов'язані з групою ShinyHunters, заперечують причетність.

Чому криптопроекти у стані підвищеної готовності

Vercel широко використовується в просторі Web3. Команди, які створюють децентралізовані застосунки, інтерфейси гаманців та фронтенди DEX, регулярно розміщуються на Vercel і зберігають облікові дані у змінних середовища. Порушення на цьому рівні може розкрити API-ключі, що з'єднують фронтенди з постачальниками даних блокчейну та бекенд-сервісами.

Децентралізована біржа на базі Solana Orca підтвердила, що її фронтенд працює на Vercel. Проект заявив, що змінив всі облікові дані для розгортання як запобіжний захід, і що її он-чейн протокол та кошти користувачів не були під загрозою.

Розробник Тео Браун, за яким широко стежить спільнота розробників програмного забезпечення, сказав, що його джерела вказують на внутрішні інтеграції Linear та GitHub у Vercel як на найбільш постраждалі системи.

Команда Mandiant від Google допомагає Vercel у розслідуванні. Vercel заявив, що також звернувся до Context.ai, щоб допомогти визначити повний масштаб порушення.

Квітень був важким місяцем для криптобезпеки

Порушення Vercel відбувається під час того, що було важким періодом для індустрії. Експлойт токена rsETH Kelp DAO на 292 мільйони доларів спричинив широкі збої на DeFi-платформах кредитування, включаючи Aave.

Раніше у квітні протокол перпетуалів на базі Solana Drift був зіллято приблизно на 285 мільйонів доларів в атаці, яка пізніше була пов'язана з акторами, афілійованими з Північною Кореєю.

Інші протоколи, які постраждали цього місяця, включають CoW Swap, Zerion, Rhea Finance та Silo Finance.

Vercel заявив, що його розслідування триває і що він оновить свій бюлетень безпеки, коли буде доступно більше інформації. Жоден великий криптопроект публічно не підтвердив, що з ним зв'язався Vercel щодо порушення станом на час публікації.

Публікація "Викуп у 2 мільйони доларів та загроза криптобезпеці — усередині злому Vercel" вперше з'явилася на CoinCentral.