Децентрализованная биржа Orca 20 апреля объявила, что завершила полную ротацию ключей и учетных данных для облачной платформы разработки Vercel в связи с инцидентом по безопасности, подтвердив, что ее on-chain-соглашения и пользовательские средства не пострадали. В Sunday Vercel раскрыла, что злоумышленники получили доступ к части внутренних систем платформы через сторонний инструмент ИИ, который интегрируется с Google Workspace OAuth.
Маршрут взлома: уязвимость AI OAuth из цепочки поставок, а не прямое нападение на Vercel
(Источник:Vercel)
Путь атаки в этот раз не был направлен напрямую против Vercel: он осуществлялся через сторонний инструмент ИИ, который ранее уже был скомпрометирован в более масштабном инциденте по безопасности, и использовал его разрешения интеграции с Google Workspace OAuth для доступа к внутренним системам Vercel. Vercel заявляет, что ранее этот инструмент затрагивал сотни пользователей из нескольких организаций.
Такие уязвимости в цепочке поставок трудно выявить с помощью традиционного мониторинга безопасности, поскольку они используют доверенные сервисы интеграции, а не прямые уязвимости кода. Разработчик Theo Browne указал, что наиболее серьезно затронуты внутренние интеграции Vercel с Linear и GitHub. Информация, к которой мог получить доступ злоумышленник, включает: ключи доступа, исходный код, записи баз данных и учетные данные для деплоя (включая токены NPM и GitHub). В настоящее время причастность инцидента пока неясна; сообщается, что продавцы запрашивали у Vercel выкуп, однако детали переговоров раскрыты не были.
Особые риски для криптофронтенда: атака на слой хостинга vs. традиционный угон DNS
Этот инцидент подчеркивает поверхность атак в безопасности криптофронтенда, о которой долгое время мало говорили:
Ключевые различия двух моделей атак
Угон на уровне DNS: злоумышленник перенаправляет пользователей на поддельный сайт; обычно это можно обнаружить относительно быстро с помощью средств мониторинга
Взлом слоя хостинга (Build Pipeline): злоумышленник напрямую изменяет фронтенд-код, который доставляется пользователям; пользователи заходят на правильный домен, но при этом могут, не зная об этом, выполнять вредоносный код
В среде Vercel, если переменные окружения не помечены как «sensitive», они могут утечь. Для криптосоглашений эти переменные обычно содержат критически важные сведения, такие как API-ключи, приватные RPC-конечные точки и учетные данные для деплоя. После утечки злоумышленник может подменить версию деплоя, внедрить вредоносный код или получить доступ к бэкенд-сервисам для более масштабной атаки. Vercel уже призвала клиентов немедленно проверить переменные окружения и включить функцию защиты чувствительных переменных на платформе.
Выводы для Web3-безопасности: зависимости от цепочек поставок становятся системным риском
Этот инцидент затронул не только Orca, но и выявил для всего Web3-сообщества более глубокую структурную проблему: зависимость криптопроектов от централизованной облачной инфраструктуры и сервисов интеграции ИИ формирует труднообороняемую новую поверхность атак. Когда любой доверенный сторонний сервис оказывается скомпрометирован, злоумышленник может обойти традиционные меры безопасности и напрямую повлиять на пользователей. Безопасность криптофронтенда вышла за рамки защиты DNS и аудита смарт-контрактов: комплексное управление безопасностью облачных платформ, CI/CD-конвейеров и интеграций ИИ становится уровнем защиты, о котором Web3-проектам нельзя забывать.
Частые вопросы
Как этот инцидент безопасности Vercel повлияет на криптопроекты, использующие Vercel?
Vercel утверждает, что количество затронутых клиентов ограничено, а сервисы платформы не прекращали работу. Однако поскольку множество DeFi-фронтендов, DEX-интерфейсов и страниц подключения кошельков размещены на Vercel, проектам рекомендовано немедленно проверить переменные окружения, заменить ключи, которые могли быть раскрыты, и убедиться в безопасном состоянии учетных данных для деплоя (включая токены NPM и GitHub).
Что именно означает «утечка переменных окружения» в криптофронтенде?
Переменные окружения обычно хранят чувствительные данные, такие как API-ключи, приватные RPC-конечные точки и учетные данные для деплоя. Если эти значения утекут, злоумышленник может подменить деплой фронтенда, внедрить вредоносный код (например, поддельные запросы на авторизацию кошелька) или получить доступ к бэкенд-сервисам подключения для более масштабной атаки, при этом домен, который видит пользователь, по-прежнему будет выглядеть нормальным.
Затронуты ли средства пользователей Orca этим инцидентом Vercel?
Orca однозначно подтвердила, что ее on-chain-соглашения и пользовательские средства не пострадали. Эта ротация ключей была проведена как осторожная превентивная мера, а не на основании подтвержденных потерь средств. Поскольку Orca использует некастодиальную архитектуру, даже если будет затронут фронтенд, контроль над правом собственности на on-chain-активы все равно остается у самого пользователя.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Крипто-взломы подогревают дискуссию о токенизации Уолл-стрит
Высокопрофильные взломы в криптовалюте проверяют риски DeFi, но маловероятно что они сорвут токенизацию; институции предпочитают разрешенные блокчейны, тогда как более широкая токенизация должна взаимодействовать с DeFi; стейблкоины подвергаются проверке и могут столкнуться с регуляторным противодействием.
CryptoFrontier3ч назад
Volo Protocol потерял $3.5M в хаке на Sui, обязуется компенсировать убытки и заморозить средства хакера
Сообщение Gate News, 22 апреля — Volo Protocol, оператор доходных хранилищ на Sui, объявил вчера (21 апреля), что начал замораживать похищенные активы после эксплойта на $3.5 млн. Хакеры вывели WBTC, XAUm и USDG из Volo Vaults, что стало последним крупным инцидентом в сфере безопасности DeFi за исторически особенно тяжелый месяц для сектора.
GateNews7ч назад
Французская семья вынуждена перевести средства $820K в криптовалюте после вооруженного вторжения в дом
Сообщение Gate News, 22 апреля — Семью в Плоудальмезо, небольшом городе в Бретани, Франция, в понедельник (20 апреля) вторглись два вооруженных человека в масках, сообщает The Block. Троих взрослых связывали более трех часов и заставили перевести примерно 700,000 евро (около $820,000) в криптовалюте на кошельки, контролируемые злоумышленниками. Подозреваемые скрылись на автомобиле; позже транспортное средство было обнаружено полицией в Бресте, однако арестов пока не было.
Этот инцидент является частью более широкой тенденции во Франции. Французская судебная полиция зафиксировала более 40 похищений или грабежей, связанных с криптовалютой, за текущий год — по сравнению примерно с 30 случаями в 2025. Среди прежних жертв были родственники стримера, руководитель крупной криптобиржи и женщина-судья.
GateNews8ч назад
DOJ запустил процесс компенсаций для жертв мошенничества OneCoin: доступно $40M+ восстановленных активов
Сообщение Gate News, 22 апреля — Министерство юстиции США объявило о запуске процесса компенсаций для жертв схемы криптовалютного мошенничества OneCoin: более $40 миллиона восстановленных активов теперь доступны для распределения.
Мошенническая схема, действовавшая в период с 2014 по 2019 год под управлением Ружи
GateNews9ч назад
На создателей AI16Z и ELIZAOS подали в суд по обвинениям в мошенничестве на $2,6 млрд; падение токена на 99,9% от пика
Федеральный коллективный иск обвиняет AI16Z/ELIZAOS в криптомошенничестве на $2,6 млрд через фальшивые заявления об ИИ и обманный маркетинг, утверждая покровительство инсайдеров и инсценированную автономную систему; требует возмещения ущерба в соответствии с законами о защите прав потребителей.
Аннотация: В этом отчете описан поданный 21 апреля в SDNY федеральный коллективный иск, в котором обвиняются AI16Z и его переименование ELIZAOS в криптомошенничестве на $2,6 млрд с использованием фальшивых заявлений об ИИ и обманного маркетинга. В иске утверждается о созданной связке с Andreessen Horowitz и о неавтономной системе. Приводятся данные о пиковой оценке в начале 2025 года, об обвале на 99,9% и примерно о 4 000 убыточных кошельков; при этом инсайдеры получили ~40% новых токенов. Истцы просят возмещения ущерба и справедливой помощи (equitable relief) в соответствии с законами штатов Нью-Йорк и Калифорния о защите потребителей. Регуляторы в Корее и крупные биржи предупреждали или приостанавливали связанную торговлю.
GateNews11ч назад
SlowMist сообщает: активное вредоносное ПО macOS MacSync Stealer, нацеленное на пользователей криптовалют
SlowMist предупреждает о MacSync Stealer (v1.1.2) для macOS, который похищает кошельки, учетные данные, связки ключей и инфраструктурные ключи, используя поддельные запросы AppleScript и фиктивные ошибки «unsupported»; призывает к осторожности и вниманию к IOCs.
Аннотация: В этом отчете обобщается предупреждение SlowMist о MacSync Stealer (v1.1.2) — вредоносной программе-информационном похитителе для macOS, нацеленной на криптовалютные кошельки, учетные данные браузера, системные связки ключей и инфраструктурные ключи (SSH, AWS, Kubernetes). Она обманывает пользователей с помощью поддельных диалогов AppleScript, запрашивая пароли, и отображает видимые фиктивные сообщения «unsupported». SlowMist предоставляет IOCs своим клиентам и советует избегать непроверенных скриптов для macOS и сохранять бдительность в отношении необычных запросов пароля.
GateNews12ч назад
