Ф'ючерси
Сотні безстрокових контрактів
TradFi
Золото
Одна платформа для світових активів
Опціони
Hot
Торгівля ванільними опціонами європейського зразка
Єдиний рахунок
Максимізуйте ефективність вашого капіталу
Демо торгівля
Вступ до ф'ючерсної торгівлі
Підготуйтеся до ф’ючерсної торгівлі
Ф'ючерсні події
Заробляйте, беручи участь в подіях
Демо торгівля
Використовуйте віртуальні кошти для безризикової торгівлі
Запуск
CandyDrop
Збирайте цукерки, щоб заробити аірдропи
Launchpool
Швидкий стейкінг, заробляйте нові токени
HODLer Airdrop
Утримуйте GT і отримуйте масові аірдропи безкоштовно
Pre-IPOs
Отримайте повний доступ до глобальних IPO акцій.
Alpha Поінти
Ончейн-торгівля та аірдропи
Ф'ючерсні бали
Заробляйте фʼючерсні бали та отримуйте аірдроп-винагороди
Інвестиції
Simple Earn
Заробляйте відсотки за допомогою неактивних токенів
Автоінвестування
Автоматичне інвестування на регулярній основі
Подвійні інвестиції
Прибуток від волатильності ринку
Soft Staking
Earn rewards with flexible staking
Криптопозика
0 Fees
Заставте одну криптовалюту, щоб позичити іншу
Центр кредитування
Єдиний центр кредитування
Центр багатства VIP
Преміальні плани зростання капіталу
Управління приватним капіталом
Розподіл преміальних активів
Квантовий фонд
Квантові стратегії найвищого рівня
Стейкінг
Стейкайте криптовалюту, щоб заробляти на продуктах PoS
Розумне кредитне плече
Кредитне плече без ліквідації
Випуск GUSD
Мінтинг GUSD для прибутку RWA
Хмарна платформа Vercel під хакерською атакою! Хакери вимагають 2 мільйони доларів за викуп, існує ризик безпеки для зашифрованих проектів
Vercel хмарна платформа зазнала злома через захоплення сторонніх інструментів штучного інтелекту, хакери виставили ціну у 2 мільйони доларів за викуп конфіденційних даних. Оскільки більшість проектів криптовалют залежить від розгортання фронтенду, ця подія може поставити під загрозу безпеку проектів через можливе їх змінення.
Хмарна платформа Vercel зазнала злома, і проєкти з криптоіндустрії також використовують її
Платформа Vercel для хмарного хостингу та розгортання інфраструктури підтвердила несанкціонований доступ до деяких внутрішніх систем, що вплинуло на частину клієнтів.
Vercel пропонує безсерверні функції, крайові обчислення та безперервну інтеграцію і розгортання, і відома широким використанням фреймворку React Next.js, багато блокчейн-проектів і криптовалютних проектів також покладаються на Vercel для розгортання фронтенду.
Генеральний директор Vercel Гільєрмо Рауч у повідомленні на платформі X пояснив, що причиною цього злома стала проблема стороннього інструменту штучного інтелекту Context.ai, обліковий запис Google Workspace співробітника Vercel був захоплений у результаті витоку даних на цій платформі, і зловмисники згодом використали цей доступ для входу у внутрішнє середовище Vercel.
Усі змінні середовища клієнтів Vercel при статичному зберіганні шифруються повністю, а також є функція позначення змінних як несекретних. Зловмисники отримали доступ до незашифрованих несекретних змінних середовища шляхом переліку.
Джерело зображення: офіційний сайт VercelVercel — це хмарна платформа для хостингу та розгортання інфраструктури, багато блокчейн-проектів і криптовалютних проектів також покладаються на Vercel для розгортання фронтенду.
Хакери виставили ціну у 2 мільйони доларів за продаж викрадених даних
Згідно з повідомленням медіа з безпеки «Bleepingcomputer», один із учасників, що називає себе членом хакерської групи ShinyHunters, опублікував повідомлення на форумі BreachForums, заявивши, що отримав внутрішні дані Vercel і виставив ціну у 2 мільйони доларів за викуп у офіційної команди.
Зломані дані, які демонструє хакер, включають ключі доступу, вихідний код, записи баз даних, а також внутрішні API-ключі для розгортання NPM і GitHub, а також містять 580 імен співробітників Vercel, їх електронні адреси, статус облікових записів і часові штампи активності.
Джерело зображення: BreachForumsХакери виставили ціну у 2 мільйони доларів за продаж викрадених даних
Однак, члени основної групи ShinyHunters заперечують свою участь у цій атаці на Vercel, хоча раніше вони атакували Rockstar — розробника серії ігор GTA ®.
Офіційна рекомендація Vercel для клієнтів
Щоб протидіяти цій атаці, Vercel залучила зовнішніх експертів з безпеки та повідомила правоохоронні органи, а також випустила оновлення для посилення заходів безпеки.
Vercel настійно рекомендує адміністраторам перевірити журнали активності на наявність підозрілих дій і закликає адміністраторів Google Workspace негайно перевірити, чи не було встановлено зловмисних OAuth-додатків.
Компанія також радить клієнтам провести повну перевірку та замінити змінні середовища, активувати функцію захисту конфіденційних змінних для забезпечення їх статичного шифрування.
Вплив злома Vercel на крипто-проєкти
Ця подія створює серйозні ризики для криптоіндустрії. За даними «The Block», багато блокчейн-проектів розгортають інтерфейси гаманців, децентралізовані біржі (DEX) та децентралізовані додатки (dApps) на Vercel.
Якщо приватні RPC-ендпоїнти, сторонні API-ключі або конфіденційна інформація, пов’язана з гаманцями, зберігалися у несекретних змінних середовища, ці дані, ймовірно, вже витекли.
Відомий учасник спільноти розробників Theo Browne також написав, що, за джерелами, найбільше постраждали системи інтеграції Vercel з Linear і GitHub.
Джерело зображення: X/Theo Browne
У минулому проблеми безпеки фронтенду у криптовалютній сфері були частими, зокрема, проекти CoW Swap, Aerodrome і Velodrome вже стикалися з атаками через захоплення доменних систем, які зазвичай використовуються для перенаправлення користувачів на фішингові сайти з метою крадіжки активів.
«The Block» зазначає, що ця атака сталася на рівні хостингу та розгортання, відкривши нові вектори атак і повністю обійшовши моніторинг доменних систем. У найгіршому випадку зловмисники можуть безпосередньо змінювати вміст фронтенду проектів.
Додаткові матеріали:
CoW Swap підданий DNS-атакі! Оцінюється збиток користувачів у мільйони доларів, офіційна рекомендація: не використовуйте фронтенд-сторінки