Vercel ujawnił naruszenie bezpieczeństwa, które mogło spowodować ujawnienie kluczy API klienta, co spowodowało pilną rotację danych uwierzytelniających między projektami kryptograficznymi. Naruszenie wynika z naruszenia połączenia Google Workspace połączonego z narzędziem sztucznej inteligencji firmy zewnętrznej Context.ai. Vercel wyjaśnił, że wrażliwe zmienne środowiskowe są bezpiecznie przechowywane i nie zawierają dowodów nieuprawnionego dostępu.
Incydent jest znaczący, ponieważ Vercel obsługuje wiele aplikacji Web3, w tym interfejsy portfeli i dashboardy. Liczne zespoły w sektorze kryptograficznym, szczególnie te korzystające z Vercel w swojej infrastrukturze front-end, przeglądają obecnie swój kod pod kątem luk w zabezpieczeniach. Orca, giełda z siedzibą w Solanie, potwierdziła, że jako środek zapobiegawczy zmieniła wszystkie dane uwierzytelniające wdrożeniowe, zapewniając jednocześnie użytkowników, że nie ma to wpływu na jej protokół sieciowy i fundusze.
Firma zauważyła, że hakerzy mogli uzyskać dostęp do konfiguracji zaplecza, co może prowadzić do ujawnienia kluczy API. Klucze API są niezbędne do łączenia aplikacji z usługami krytycznymi. Forum cyberprzestępcze twierdziło, że oferuje dane Vercel za 2 miliony dolarów, w tym klucze dostępu i kod źródłowy, chociaż Vercel nie potwierdził autentyczności tych twierdzeń i współpracuje z organami ścigania i firmami zajmującymi się reagowaniem na incydenty w celu dalszego zbadania sprawy.
Dyrektor generalny Vercel stwierdził, że do naruszenia doszło dzięki korzystaniu przez pracownika z Context.ai, co umożliwiło atakującym eskalację dostępu do wewnętrznych środowisk Vercel. Pomimo potencjalnych konsekwencji naruszenia firma Vercel utrzymuje, że stosowane przez nią metody przechowywania wrażliwych danych jak dotąd chroniły je przed ujawnieniem.
Moment naruszenia Vercel zbiega się z exploitem o wartości 292 milionów dolarów tokena rsETH firmy Kelp DAO, powodując załamanie płynności na zdecentralizowanych platformach finansowych, takich jak Aave. Kwiecień okazał się burzliwym miesiącem dla kryptowalut, naznaczonym znaczącymi exploitami, w tym atakiem o wartości 285 milionów dolarów na protokół Drift oparty na Solanie, który prawdopodobnie jest powiązany z aktorami z Korei Północnej.
LayerZero ustaliło, że wart 290 milionów dolarów exploit DAO firmy Kelp wynikał z decyzji firmy Kelp o wykorzystaniu konfiguracji z jednym weryfikatorem, wbrew zaleceniom obejmującym wiele weryfikatorów. Napastnicy złamali dwa węzły RPC i przeprowadzili atak DDoS, który wykorzystał luki w architekturze Kelpa.
