Nền tảng phát triển Web3 Vercel đã xác nhận một vụ vi phạm an ninh bắt nguồn từ một công cụ AI của bên thứ ba bị xâm nhập, với việc những kẻ tấn công được báo cáo là yêu cầu 2 triệu USD tiền chuộc cho dữ liệu nội bộ bị đánh cắp.
Nhà cung cấp đám mây này, nơi lưu trữ các ứng dụng front-end cho hàng nghìn doanh nghiệp, đã công khai thừa nhận sự cố sau khi nhóm hack ShinyHunters đăng tải các phần dữ liệu lên mạng. Vercel tuyên bố rằng chỉ có một "nhóm nhỏ" khách hàng bị ảnh hưởng, nhưng những kẻ tấn công khẳng định đang tích cực bán thêm dữ liệu trên các diễn đàn dark web.
Vụ vi phạm đã làm lộ các hệ thống nội bộ và những gì Vercel phân loại là các biến môi trường "không nhạy cảm", theo một báo cáo từ The Verge. Đối với các dự án crypto và Web3, các biến này thường chứa dữ liệu cực kỳ nhạy cảm, bao gồm khóa API, thông tin xác thực cơ sở dữ liệu và các mảnh khóa riêng tư. Các chuyên gia bảo mật đã ngay lập tức khuyên tất cả khách hàng của Vercel thay đổi thông tin xác thực và kiểm tra nhật ký truy cập cho các hoạt động từ ngày 17 tháng 4 đến ngày 19 tháng 4.
Vụ vi phạm này xảy ra vào thời điểm quan trọng đối với Vercel, công ty được cho là đang chuẩn bị cho đợt phát hành cổ phiếu lần đầu ra công chúng (IPO) sau khi doanh thu tăng vọt 240%. Sự cố này buộc công ty vào thế phòng thủ ngay khi cần thể hiện sự ổn định với các nhà đầu tư, trong khi các đối thủ như Netlify và Render được cho là đang liên hệ với khách hàng của Vercel để quảng bá nền tảng của họ như những lựa chọn thay thế an toàn hơn.
Các cuộc tấn công chuỗi cung ứng leo thang
Sự cố Vercel là vụ mới nhất trong một loạt các cuộc tấn công chuỗi cung ứng tốn kém nhắm vào hạ tầng phát triển phần mềm. Mặc dù Vercel chưa nêu tên nhà cung cấp AI bị xâm nhập, vụ vi phạm làm nổi bật cách các tích hợp của bên thứ ba tạo ra các vectơ tấn công mới có thể vượt qua các hàng rào bảo mật truyền thống.
Cuộc tấn công này diễn ra sau một quý tồi tệ đối với không gian tài sản kỹ thuật số, nơi đã mất 482 triệu USD do các vụ hack và lừa đảo trong quý 1 năm 2026, theo công ty bảo mật Hacken. Tin tức về Vercel xuất hiện chỉ vài tuần sau hai trong số các vụ khai thác lớn nhất năm: một vụ hack cầu nối trị giá 292 triệu USD nhắm vào giao thức liquid restaking Kelp DAO và một vụ vi phạm quản trị trị giá 285 triệu USD tại Drift Protocol. Những sự cố này nhấn mạnh một sự thay đổi khi những kẻ tấn công ngày càng nhắm vào các lớp vận hành và hạ tầng thay vì chỉ là các hợp đồng thông minh trên chuỗi.
Các dự án Web3 nỗ lực phản ứng
Vụ xâm nhập đã gây ra một làn sóng lo ngại trong hệ sinh thái tài chính phi tập trung (DeFi) và Web3, nơi Vercel là một phần hạ tầng nền tảng để lưu trữ các ứng dụng hướng tới người dùng. Một số dự án tiền điện tử đã bắt đầu kiểm tra ngay lập tức mức độ ảnh hưởng của họ, hoạt động dưới giả định rằng bất kỳ thông tin xác thực nào được lưu trữ trong hệ thống của Vercel đều có thể bị xâm nhập. Sự cố đã có những tác động lan tỏa, với giao thức cho vay Aave đóng băng thị trường cho rsETH, mã thông báo bị ảnh hưởng bởi vụ hack Kelp DAO gần đây, chứng minh rủi ro liên kết trong hạ tầng DeFi.
Bài viết này chỉ mang tính chất thông tin và không cấu thành lời khuyên đầu tư.
