Web3 개발 플랫폼 Vercel은 침해된 제3자 AI 도구에서 기인한 보안 사고를 확인했으며, 공격자들은 탈취한 내부 데이터에 대해 200만 달러의 몸값을 요구하고 있는 것으로 알려졌습니다.
수천 개의 기업을 위해 프런트엔드 애플리케이션을 호스팅하는 이 클라우드 제공업체는 ShinyHunters 해킹 그룹이 데이터의 일부를 온라인에 게시한 후 사고를 공개적으로 인정했습니다. Vercel은 고객 중 "극히 일부"만 영향을 받았다고 밝혔으나, 공격자들은 다크웹 포럼에서 추가 데이터를 적극적으로 판매하고 있다고 주장하고 있습니다.
The Verge의 보고서에 따르면, 이번 침해로 내부 시스템과 Vercel이 "비민감"으로 분류한 환경 변수가 노출되었습니다. 크립토 및 Web3 프로젝트의 경우, 이러한 변수에는 API 키, 데이터베이스 자격 증명, 개인 키 파편 등 매우 민감한 데이터가 포함되는 경우가 많습니다. 보안 전문가들은 즉시 모든 Vercel 고객에게 자격 증명을 갱신하고 4월 17일에서 19일 사이의 액세스 로그를 감사할 것을 권고했습니다.
이번 침해는 매출이 240% 급증한 후 기업공개(IPO)를 준비하던 Vercel에게 매우 중요한 시점에 발생했습니다. 투자자들에게 안정성을 보여줘야 할 시점에 회사는 방어적인 자세를 취할 수밖에 없게 되었으며, Netlify와 Render 같은 경쟁사들은 Vercel 고객들에게 연락하여 자신들의 플랫폼을 더 안전한 대안으로 홍보하고 있는 것으로 알려졌습니다.
Vercel 사건은 소프트웨어 개발 인프라를 겨냥한 일련의 값비싼 공급망 공격 중 최신 사례입니다. Vercel은 침해된 AI 벤더의 이름을 밝히지 않았지만, 이번 사건은 제3자 통합이 전통적인 보안 경계를 우회할 수 있는 새로운 공격 벡터를 어떻게 생성하는지 잘 보여줍니다.
이번 공격은 보안 업체 Hacken에 따르면 2026년 1분기에 해킹과 사기로 4억 8,200만 달러를 잃은 디지털 자산 업계의 잔혹한 분기 뒤에 발생했습니다. Vercel 뉴스는 올해 최대 규모의 취약점 공격 두 건이 발생한 지 불과 몇 주 만에 나왔습니다. 리퀴드 리스테이킹 프로토콜 Kelp DAO를 강타한 2억 9,200만 달러 규모의 브릿지 해킹과 Drift Protocol의 2억 8,500만 달러 규모의 관리 권한 침해 사건입니다. 이러한 사건들은 공격자들이 단순히 온체인 스마트 컨트랙트가 아니라 운영 및 인프라 계층을 점점 더 겨냥하고 있음을 강조합니다.
Vercel이 사용자용 애플리케이션 호스팅을 위한 기초 인프라이기 때문에 이번 침해는 탈중앙화 금융(DeFi) 및 Web3 생태계에 큰 우려를 불러일으켰습니다. 여러 크립토 프로젝트는 Vercel 시스템에 저장된 모든 자격 증명이 노출되었을 수 있다는 가정 하에 즉시 노출 정도를 감사하기 시작했습니다. 이 사건은 이미 파급 효과를 일으키고 있으며, Aave 대출 프로토콜은 최근 Kelp DAO 해킹의 영향을 받은 토큰인 rsETH 시장을 동결하여 DeFi 인프라 내의 상호 연결된 위험을 입증했습니다.
이 기사는 정보 제공 목적으로만 작성되었으며 투자 조언을 구성하지 않습니다.
