- Web3 託管服務商 Vercel 因第三方 AI 工具受損而遭到入侵,ShinyHunters 組織的攻擊者聲稱正在出售被盜數據。
- 此次入侵暴露了內部系統和環境變數,對於在該平台上存儲 API 金鑰和私有憑據的加密項目構成了重大風險。
- 事件發生時,據報導 Vercel 正準備進行 IPO,這構成了重大的安全障礙,並讓 Netlify 等競爭對手有機可乘。
返回
返回
Vercel 證實遭駭客入侵,攻擊者索要 200 萬美元贖金
Web3 開發平台 Vercel 證實,由於第三方 AI 工具受損,發生了一起安全入侵事件,據報導,攻擊者對盜取的內部數據索要 200 萬美元贖金。
這家為數千家企業提供前端應用託管的雲端供應商,在 ShinyHunters 駭客組織在線發布部分數據後,公開承認了這一事件。Vercel 表示,只有「極少數」客戶受到影響,但攻擊者聲稱正積極在暗網論壇上出售更多數據。
據《The Verge》的一份報告顯示,此次入侵暴露了內部系統以及 Vercel 分類為「非敏感」的環境變數。對於加密和 Web3 項目而言,這些變數通常包含高度敏感的數據,包括 API 金鑰、資料庫憑據和私鑰碎片。安全專家立即建議所有 Vercel 客戶更換憑據,並審計 4 月 17 日至 4 月 19 日期間的操作日誌。
這次入侵發生在 Vercel 的關鍵時刻。據報導,在營收激增 240% 後,該公司正準備進行首次公開募股 (IPO)。這一事件迫使公司在需要向投資者展示穩定性之際轉入防禦姿態,而 Netlify 和 Render 等競爭對手據傳正在聯繫 Vercel 的客戶,將其平台定位為更安全的選擇。
供應鏈攻擊升級
Vercel 事件是針對軟體開發基礎設施的一系列代價高昂的供應鏈攻擊中的最新一起。雖然 Vercel 尚未點名受損的 AI 供應商,但此次入侵突顯了第三方集成如何創造新的攻擊向量,從而繞過傳統的安全邊界。
此次攻擊發生在數位資產領域慘淡的一個季度之後。根據安全公司 Hacken 的數據,2026 年第一季度數位資產領域因駭客和詐騙損失了 4.82 億美元。Vercel 的消息傳出幾周前,剛剛發生了今年最大的兩起利用事件:流動再質押協議 Kelp DAO 遭遇 2.92 億美元的跨鏈橋駭客攻擊,以及 Drift Protocol 遭遇 2.85 億美元的管理權限入侵。這些事件強調了一種轉變,即攻擊者越來越多地瞄準運營和基礎設施層,而不僅僅是鏈上智能合約。
Web3 項目緊急應對
由於 Vercel 是託管用戶端應用的基礎設施,此次受損引起了去中心化金融 (DeFi) 和 Web3 生態系統的廣泛擔憂。多個加密項目立即開始審計其風險敞口,前提是假設存儲在 Vercel 系統中的任何憑據都可能已洩露。該事件已經產生了連鎖反應,Aave 借貸協議凍結了 rsETH 的市場,該代幣受到了近期 Kelp DAO 駭客攻擊的影響,這證明了 DeFi 基礎設施內部相互關聯的風險。
本文僅供參考,不構成投資建議。