Vercel は、顧客の API キーを漏洩させた可能性のあるセキュリティ侵害を公表し、暗号化プロジェクト間での緊急の認証情報のローテーションを促しました。この侵害は、サードパーティ AI ツール Context.ai にリンクされた Google Workspace 接続の侵害によって発生しました。 Vercel 氏は、機密性の高い環境変数は安全に保管されており、不正アクセスの証拠はないことを明らかにしました。
Vercel はウォレット インターフェイスやダッシュボードを含む多くの Web3 アプリケーションをサポートしているため、このインシデントは重要です。暗号セクター内の多くのチーム、特にフロントエンド インフラストラクチャに Vercel を使用しているチームは現在、コードの脆弱性をレビューしています。 Solana ベースの取引所である Orca は、オンチェーン プロトコルと資金が影響を受けないことをユーザーに保証しながら、予防措置としてすべての展開認証情報をローテーションしたことを確認しました。
ハッカーがバックエンド設定にアクセスし、API キーの漏洩につながる可能性があると同社は指摘した。 API キーは、アプリケーションを重要なサービスに接続するために重要です。サイバー犯罪フォーラムは、アクセスキーとソースコードを含むデータを200万ドルでVercelに提供したと主張したが、Vercelはこれらの主張の信憑性を確認しておらず、法執行機関やインシデント対応会社と協力してさらなる調査を行っている。
Vercel の CEO は、この侵害は従業員による Context.ai の使用によって可能となり、攻撃者が Vercel の内部環境にアクセスをエスカレートできるようになったと述べました。この侵害の潜在的な影響にもかかわらず、Vercel は、これまでのところ機密データを保存する方法により漏洩から保護されていると主張しています。
Vercel の侵害のタイミングは、Kelp DAO の rsETH トークンの 2 億 9,200 万ドルの悪用と一致し、Aave のような分散型金融プラットフォーム全体で流動性の逼迫を引き起こしました。 4月は、北朝鮮の攻撃者との関連が疑われるソラナベースのドリフトプロトコルに対する2億8500万ドルの攻撃を含む、重大な悪用が目立った暗号通貨にとって激動の月となった。
LayerZero は、2 億 9,000 万ドルの Kelp DAO エクスプロイトは、マルチベリファイアの推奨に反して単一ベリファイア構成を利用するという Kelp の選択に起因していることを特定しました。攻撃者は 2 つの RPC ノードを侵害し、Kelp のアーキテクチャの脆弱性を悪用する DDoS 攻撃を実行しました。
