Web3 geliştirme platformu Vercel, ele geçirilmiş bir üçüncü taraf yapay zeka aracından kaynaklanan bir güvenlik ihlalini doğruladı; saldırganların çalınan dahili veriler için 2 milyon dolar fidye talep ettiği bildiriliyor.
Binlerce işletme için ön uç (front-end) uygulamaları barındıran bulut sağlayıcısı, ShinyHunters hacker grubunun verilerin bir kısmını internette paylaşmasının ardından olayı kamuoyuna açıkladı. Vercel, müşterilerin yalnızca "sınırlı bir kısmının" etkilendiğini belirtirken, saldırganlar karanlık web forumlarında aktif olarak ek veri sattıklarını iddia ediyor.
The Verge'ün bir raporuna göre, ihlal dahili sistemleri ve Vercel'in "hassas olmayan" olarak sınıflandırdığı ortam değişkenlerini açığa çıkardı. Kripto ve Web3 projeleri için bu değişkenler genellikle API anahtarları, veri tabanı kimlik bilgileri ve özel anahtar parçaları dahil olmak üzere son derece hassas veriler içerir. Güvenlik uzmanları, tüm Vercel müşterilerine kimlik bilgilerini yenilemelerini ve 17 Nisan ile 19 Nisan arasındaki erişim günlüklerini denetlemelerini tavsiye etti.
Bu ihlal, %240'lık bir gelir artışının ardından halka arza (IPO) hazırlandığı bildirilen Vercel için kritik bir anda gerçekleşti. Olay, şirketi yatırımcılara istikrar yansıtması gereken bir dönemde savunma pozisyonuna zorlarken; Netlify ve Render gibi rakiplerin Vercel müşterileriyle iletişime geçerek platformlarını daha güvenli alternatifler olarak sunduğu bildiriliyor.
Tedarik Zinciri Saldırıları Tırmanıyor
Vercel olayı, yazılım geliştirme altyapısını hedef alan bir dizi maliyetli tedarik zinciri saldırısının sonuncusudur. Vercel, tehlikeye atılan yapay zeka satıcısının adını vermemiş olsa da, ihlal üçüncü taraf entegrasyonlarının geleneksel güvenlik sınırlarını baypas edebilecek yeni saldırı vektörlerini nasıl oluşturduğunu vurguluyor.
Bu saldırı, güvenlik firması Hacken'e göre 2026'nın ilk çeyreğinde hack ve dolandırıcılık vakaları nedeniyle 482 milyon dolar kaybeden dijital varlık sektörü için zorlu bir dönemin ardından geldi. Vercel haberi, yılın en büyük iki istismarından sadece birkaç hafta sonra geldi: likit yeniden stake etme protokolü Kelp DAO'yu vuran 292 milyon dolarlık köprü saldırısı ve Drift Protocol'deki 285 milyon dolarlık idari ihlal. Bu olaylar, saldırganların artık sadece zincir üstü akıllı sözleşmeler yerine operasyonel ve altyapı katmanlarını giderek daha fazla hedef aldığı bir değişimin altını çiziyor.
Web3 Projeleri Yanıt Vermek İçin Yarışıyor
Vercel'in kullanıcı odaklı uygulamaları barındırmak için temel bir altyapı parçası olduğu merkeziyetsiz finans (DeFi) ve Web3 ekosisteminde bu sızıntı büyük bir endişe dalgasına yol açtı. Birçok kripto projesi, Vercel sistemlerinde saklanan her türlü kimlik bilgisinin tehlikede olabileceği varsayımıyla maruziyetlerini derhal denetlemeye başladı. Olay şimdiden zincirleme etkilere yol açtı; Aave borç verme protokolü, son Kelp DAO saldırısından etkilenen token olan rsETH için piyasaları dondurarak DeFi altyapısı içindeki birbirine bağlı riskleri ortaya koydu.
Bu makale sadece bilgilendirme amaçlıdır ve yatırım tavsiyesi teşkil etmez.
