Cơ bản
Giao ngay
Giao dịch tiền điện tử một cách tự do
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Chuyển đổi và Đầu tư định kỳ
0 Fees
Giao dịch bất kể khối lượng không mất phí không trượt giá
ETF
Sản phẩm ETF có thuộc tính đòn bẩy giao dịch giao ngay không cần vay không cháy tải khoản
Giao dịch trước giờ mở cửa
Giao dịch token mới trước niêm yết
Futures
Truy cập hàng trăm hợp đồng vĩnh cửu
TradFi
Vàng
Một nền tảng cho tài sản truyền thống
Quyền chọn
Hot
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Giới thiệu về Giao dịch hợp đồng tương lai
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia sự kiện để nhận phần thưởng
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Launch
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Pre-IPOs
Mở khóa quyền truy cập đầy đủ vào các IPO cổ phiếu toàn cầu
Điểm Alpha
Giao dịch trên chuỗi và nhận airdrop
Điểm Futures
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Simple Earn
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Kiếm lợi nhuận từ biến động thị trường
Soft Staking
Kiếm phần thưởng với staking linh hoạt
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
Nền tảng lưu trữ đám mây Vercel bị tấn công! Hacker đòi 2 triệu USD để đòi tiền chuộc, dự án mã hóa có thể gặp rủi ro an ninh mạng
Vercel nền tảng đám mây bị tấn công do công cụ AI của bên thứ ba bị chiếm quyền, hacker đưa ra giá 2 triệu USD để đòi tiền chuộc dữ liệu mật. Vì đa số các dự án tiền mã hóa phụ thuộc vào việc triển khai giao diện phía trước, sự kiện này có thể gây ra rủi ro an ninh lớn về việc chỉnh sửa trái phép dự án.
Nền tảng đám mây Vercel bị tấn công, các dự án mã hóa cũng sử dụng
Nền tảng lưu trữ đám mây và triển khai hạ tầng Vercel đã xác nhận một số hệ thống nội bộ bị truy cập trái phép, gây ảnh hưởng đến một số khách hàng.
Vercel cung cấp các dịch vụ như chức năng không máy chủ, tính toán biên, và pipeline tích hợp liên tục và triển khai liên tục, nổi tiếng với framework React phổ biến Next.js, nhiều dự án blockchain và tiền mã hóa cũng dựa vào Vercel để triển khai giao diện phía trước.
CEO của Vercel, Guillermo Rauch, đã đăng bài trên nền tảng mạng xã hội X giải thích rằng, nguyên nhân vụ tấn công lần này là do vấn đề của công cụ AI bên thứ ba Context.ai, một tài khoản Google Workspace của nhân viên Vercel đã bị chiếm quyền trong vụ rò rỉ dữ liệu của nền tảng AI đó, kẻ tấn công sau đó sử dụng quyền của tài khoản này để truy cập vào môi trường nội bộ của Vercel.
Tất cả biến môi trường của khách hàng Vercel đều được mã hóa toàn diện khi ở trạng thái tĩnh, đồng thời cũng cung cấp chức năng chỉ định biến là không nhạy cảm. Hacker đã khai thác phương thức liệt kê để lấy được các biến môi trường không mã hóa, không nhạy cảm.
Nguồn hình ảnh: Trang chính VercelVercel là nền tảng lưu trữ đám mây và hạ tầng triển khai, nhiều dự án blockchain và tiền mã hóa cũng dựa vào Vercel để triển khai giao diện phía trước.
Hacker đưa ra giá 2 triệu USD để đòi tiền chuộc dữ liệu bị đánh cắp
Theo báo cáo của phương tiện truyền thông an ninh mạng 《Bleepingcomputer》, một thành viên tự xưng đến từ tổ chức hacker ShinyHunters đã đăng bài trên diễn đàn hacker BreachForums, tuyên bố đã lấy được dữ liệu nội bộ của Vercel, và đưa ra giá 2 triệu USD để đòi tiền chuộc chính thức.
Dữ liệu bị hacker tiết lộ bao gồm khoá truy cập, mã nguồn, ghi chú cơ sở dữ liệu, cũng như API Key nội bộ của NPM và GitHub, thậm chí còn có 580 tên, email, trạng thái tài khoản và dấu thời gian hoạt động của nhân viên Vercel.
Nguồn hình ảnh: BreachForumsHacker đưa ra giá 2 triệu USD để bán dữ liệu bị đánh cắp
Tuy nhiên, các thành viên liên quan của tổ chức ShinyHunters đã phủ nhận tham gia vụ tấn công Vercel này với truyền thông, nhưng tổ chức này trước đó đã tấn công nhà phát triển trò chơi 《GTA》 là Rockstar (R star).
Khuyến nghị khách hàng của Vercel kiểm tra toàn diện
Về vụ tấn công này, Vercel đã thuê các chuyên gia an ninh mạng bên ngoài và báo cáo cho cơ quan thực thi pháp luật, đồng thời phát hành bản cập nhật nhằm tăng cường quản lý an ninh.
Vercel khuyến nghị mạnh mẽ các quản trị viên kiểm tra nhật ký hoạt động để phát hiện hành vi đáng ngờ, và kêu gọi quản trị viên Google Workspace kiểm tra ngay xem có cài đặt ứng dụng OAuth bị xâm nhập hay không.
Cũng đề xuất khách hàng kiểm tra toàn diện và thay thế các biến môi trường, kích hoạt chức năng biến nhạy cảm để đảm bảo dữ liệu được mã hóa tĩnh.
Ảnh hưởng của vụ tấn công Vercel đến các dự án mã hóa
Sự kiện này mang lại rủi ro lớn cho ngành công nghiệp tiền mã hóa. Theo 《The Block》, các dự án blockchain thường triển khai giao diện ví, frontend của sàn giao dịch phi tập trung (DEX) và bảng điều khiển dApp trên Vercel.
Nếu các dự án blockchain lưu trữ các endpoint RPC riêng tư, API Key của bên thứ ba hoặc các thông tin bí mật liên quan đến ví trong biến môi trường không nhạy cảm, thì những thông tin này có khả năng đã bị rò rỉ.
Nhà phát triển cộng đồng nổi tiếng, Theo Browne, cũng đăng bài cho biết, nguồn tin chỉ ra rằng hệ thống tích hợp Linear và GitHub nội bộ của Vercel bị ảnh hưởng nặng nề nhất.
Nguồn hình ảnh: X/Theo Browne
Trong quá khứ, các vấn đề về an ninh frontend trong lĩnh vực tiền mã hóa thường xuyên xảy ra, bao gồm các dự án như CoW Swap, Aerodrome và Velodrome từng bị tấn công qua hệ thống tên miền, các cuộc tấn công này thường dẫn đến việc chuyển hướng khách truy cập đến các trang web lừa đảo để chiếm đoạt tài sản.
《The Block》 chỉ ra rằng, vụ tấn công lần này xảy ra ở tầng lưu trữ và triển khai, mở ra một mặt trận tấn công mới, hoàn toàn vượt qua các hệ thống giám sát tên miền. Trong tình huống tồi tệ nhất, hacker có thể trực tiếp chỉnh sửa nội dung đầu ra của frontend đã xây dựng của dự án.
Các bài viết liên quan:
CoW Swap bị tấn công DNS! Ước tính thiệt hại của người dùng lên đến hàng trăm nghìn USD, chính thức: đừng dùng frontend web