Pertukaran terdesentralisasi Orca pada 20 April mengumumkan bahwa pihaknya telah menyelesaikan rotasi penuh kunci dan kredensial terkait insiden keamanan pada platform pengembangan berbasis cloud Vercel, mengonfirmasi bahwa perjanjian di blockchain dan dana pengguna tidak terdampak. Vercel mengungkapkan pada hari Minggu bahwa pelaku mengakses sebagian sistem internal platform melalui sebuah alat AI pihak ketiga yang terintegrasi dengan Google Workspace OAuth.
Jalur Penyusupan: Celah Rantai Pasok AI OAuth, bukan Serangan Langsung terhadap Vercel
(Sumber: Vercel)
Jalur serangan dalam peristiwa ini bukanlah menargetkan Vercel secara langsung, melainkan melalui sebuah alat AI pihak ketiga yang telah disusupi dalam insiden keamanan yang lebih besar sebelumnya, menggunakan izin integrasi Google Workspace OAuth untuk mengakses sistem internal Vercel. Vercel menyatakan bahwa alat tersebut sebelumnya telah berdampak pada ratusan pengguna di banyak institusi.
Kerentanan rantai pasok seperti ini sulit dikenali oleh pemantauan keamanan tradisional, karena yang dimanfaatkan adalah layanan integrasi tepercaya, bukan celah kode secara langsung. Pengembang Theo Browne menunjukkan bahwa yang paling parah terdampak adalah integrasi internal Vercel dengan Linear dan GitHub. Informasi yang mungkin dapat diakses pelaku termasuk: kunci akses, kode sumber, catatan basis data, serta kredensial deployment (termasuk token NPM dan GitHub). Kategori kejadian ini saat ini belum jelas; ada laporan bahwa penjual pernah meminta tebusan kepada Vercel, tetapi rincian negosiasi tidak diungkapkan.
Risiko Khusus pada Frontend Terenkripsi: Serangan pada Lapisan Hosting vs. Pembajakan DNS Tradisional
Peristiwa ini menyoroti permukaan serangan pada keamanan frontend terenkripsi yang selama ini lama diabaikan:
Perbedaan Kunci dari Dua Pola Serangan
Pembajakan Lapisan DNS: penyerang mengarahkan ulang pengguna ke situs palsu; biasanya dapat dideteksi relatif cepat melalui alat pemantauan
Intrusi Lapisan Hosting (Build Pipeline): penyerang secara langsung memodifikasi kode frontend yang dikirimkan kepada pengguna; pengguna mengakses domain yang benar, tetapi bisa saja menjalankan kode berbahaya tanpa disadari
Di lingkungan Vercel, jika variabel lingkungan tidak ditandai sebagai “sensitive”, variabel tersebut dapat bocor. Bagi protokol enkripsi, variabel-variabel ini biasanya berisi informasi penting seperti kunci API, endpoint RPC privat, dan kredensial deployment. Jika bocor, penyerang dapat memanipulasi versi deployment, menyuntikkan kode berbahaya, atau mengakses layanan backend untuk melakukan serangan yang lebih luas. Vercel telah mendesak pelanggan untuk segera meninjau variabel lingkungan dan mengaktifkan fitur perlindungan variabel sensitif di platform tersebut.
Pelajaran bagi Keamanan Web3: Ketergantungan pada Rantai Pasok Kini Menjadi Risiko Sistematis
Peristiwa ini tidak hanya berdampak pada Orca, tetapi juga mengungkapkan masalah struktural yang lebih dalam bagi seluruh komunitas Web3: ketergantungan proyek enkripsi pada infrastruktur cloud terpusat dan layanan integrasi AI, sedang membentuk permukaan serangan baru yang sulit dipertahankan. Ketika layanan pihak ketiga tepercaya disusupi, penyerang dapat melewati perlindungan keamanan tradisional dan langsung memengaruhi pengguna. Keamanan frontend terenkripsi telah melampaui cakupan perlindungan DNS dan audit smart contract; manajemen keamanan menyeluruh untuk platform cloud, pipeline CI/CD, dan integrasi AI kini menjadi lapisan pertahanan yang tidak boleh diabaikan bagi proyek Web3.
Pertanyaan Umum
Apa dampak insiden keamanan Vercel ini terhadap proyek kripto yang menggunakan Vercel?
Vercel menyatakan jumlah pelanggan yang terdampak terbatas, dan layanan platform tidak mengalami gangguan. Namun karena banyak frontend DeFi, antarmuka DEX, serta halaman koneksi dompet dihosting di Vercel, pihak proyek disarankan untuk segera meninjau variabel lingkungan, mengganti kunci yang mungkin saja bocor, dan memastikan status keamanan kredensial deployment (termasuk token NPM dan GitHub).
Apa risiko spesifik yang dimaksud dengan “kebocoran variabel lingkungan” pada frontend kripto?
Variabel lingkungan biasanya menyimpan informasi sensitif seperti kunci API, endpoint RPC privat, dan kredensial deployment. Jika nilai-nilai ini bocor, penyerang dapat memanipulasi deployment frontend, menyuntikkan kode berbahaya (misalnya permintaan otorisasi dompet palsu), atau mengakses layanan koneksi backend untuk melakukan serangan yang lebih luas, sementara domain yang dikunjungi pengguna tetap terlihat normal.
Apakah dana pengguna Orca terdampak oleh peristiwa Vercel ini?
Orca secara tegas mengonfirmasi bahwa perjanjian di blockchain dan dana pengguna tidak terdampak. Rotasi kunci kali ini dilakukan sebagai langkah pencegahan dengan pertimbangan kehati-hatian, bukan berdasarkan kerugian dana yang sudah dikonfirmasi. Karena Orca menggunakan arsitektur non-custodial, meskipun frontend terkena dampak, kendali atas kepemilikan aset di blockchain tetap berada di tangan pengguna sendiri.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Pendiri Curve Egorov Mengkritik Arsitektur DeFi Setelah $750M dalam Kerugian Tahun Ini
Pesan Gate News, 21 April — Para depositor DeFi menghadapi masalah penarikan selama akhir pekan di beberapa protokol utama termasuk Aave, rsETH, dan LayerZero, mendorong pendiri Curve Finance, Michael Egorov, untuk secara terbuka mengkritik pendekatan arsitektur industri tersebut. "Apakah kita industri badut?" Egorov
GateNews12menit yang lalu
Dewan Keamanan Arbitrum Membekukan 30.766 ETH dari Eksploit KelpDAO, 9 dari 12 Anggota Memilih Mendukung
Arbitrum membekukan 30.766 ETH dari peretasan KelpDAO, bekerja sama dengan aparat penegak hukum, dan memulihkan sekitar seperempat aset, sambil mengunci dana hingga tata kelola (governance) berjalan di tengah perdebatan desentralisasi versus keamanan.
Abstrak: Artikel ini melaporkan bahwa Dewan Keamanan Arbitrum membekukan 30.766 ETH (sekitar $70 juta) yang terkait dengan eksploit KelpDAO, dengan sembilan dari dua belas suara, serta memindahkan dana ke dompet yang aman berkoordinasi dengan aparat penegak hukum. Operasi ini menargetkan hanya aset yang terdampak untuk meminimalkan gangguan pada jaringan. Pelaku yang mengeksploitasi diduga berhubungan dengan DPRK. Kebobolan dimulai pada 18 April melalui jembatan LayerZero, menguras 116.500 rsETH (~$292 juta). Sekitar seperempat dari aset yang dicuri telah dipulihkan. Dana yang dibekukan akan tetap dikunci sampai governance dan otoritas hukum memutuskan langkah selanjutnya, memicu perdebatan tentang desentralisasi versus keamanan.
GateNews1jam yang lalu
Penipu Menyamar sebagai Otoritas Iran untuk Memeras Pemilik Kapal yang Terdampar dalam Bitcoin dan Tether
Pesan Berita Gerbang, 21 April — Pelaku tak dikenal mengirim pesan penipuan kepada perusahaan pelayaran dengan kapal yang terdampar di sebelah barat Selat Hormuz, mengklaim sebagai otoritas Iran dan menawarkan jalur aman sebagai imbalan biaya yang dibayarkan dalam Bitcoin atau Tether, menurut perusahaan risiko asal Yunani MARISKS. Pesan tersebut
GateNews1jam yang lalu
Pembaruan peristiwa Aave rsETH: Core V3 WETH dibekukan, lima cadangan pasar utama masih dibekukan
Aave pada 21 April mengumumkan di platform X bahwa cadangan WETH di pasar Ethereum Core V3 telah dibekukan kembali, sehingga pengguna dapat memasok ulang WETH ke Ethereum Core V3; nilai pinjaman WETH terhadap nilai jaminan (LTV) masih dipertahankan pada 0. Cadangan WETH di Ethereum Prime, Arbitrum, Base, Mantle, dan Linea tetap dibekukan.
MarketWhisper2jam yang lalu
Wanita Hong Kong Kehilangan 7,7 Juta HKD dalam Kripto Setelah Tergoda Penipuan Trading AI
Seorang wanita Hong Kong kehilangan 7,7 juta HKD kepada seorang penipu yang menyamar sebagai pakar investasi di Telegram, menjanjikan keuntungan tinggi dengan risiko rendah. Setelah mentransfer dana beberapa kali, ia tidak bisa menarik uangnya, sehingga terungkap penipuan tersebut. Polisi memperingatkan agar tidak terjebak penipuan seperti itu.
GateNews2jam yang lalu
Ice Open Network mengalami kebocoran data oleh orang dalam, setelah token ION anjlok, reorganisasi untuk bertahan hidup
Ice Open Network pada 20 April menulis di X, mengonfirmasi bahwa pada minggu lalu terjadi insiden kebocoran data. Penyebabnya adalah bahwa setelah hubungan bisnis dengan penyedia layanan pihak ketiga oleh empat orang rekan pendiri berakhir, mereka masih mengakses server eksternal, sehingga membocorkan alamat email pengguna, nomor telepon 2FA, dan data yang terkait dengan identitas. Latar belakang kejadian ini adalah: token ION telah anjlok 93% dua minggu sebelumnya, dan tim proyek sedang berada dalam masa reorganisasi darurat berskala besar.
MarketWhisper2jam yang lalu
