La violación de Vercel deja las interfaces de DeFi colgando de un rescate de 2 millones de dólares
Se recomendó a los usuarios que dejaran de interactuar con cualquier aplicación DeFi durante unos días después de que Vercel, el creador de Next.js y proveedor de la nube para una gran cantidad de plataformas criptográficas orientadas al usuario, admitiera que los atacantes violaron sus sistemas internos.
Según el director ejecutivo de Vercel, Guillermo Rauch, el ataque ocurrió cuando uno de sus empleados "se vio comprometido a través de la violación de una plataforma cliente de inteligencia artificial llamada Context.ai que estaba usando".
Los atacantes, que según Rauch fueron "significativamente acelerados por la IA", aparentemente escalaron a través de la cuenta de Google Workspace del empleado hasta el entorno corporativo de Vercel.
Un vendedor de BreachForums que afirma ser el equipo de extorsión ShinyHunters exige un rescate de 2 millones de dólares a través de una lista que supuestamente incluye tokens de GitHub.
Para DeFi, el incidente es una pesadilla. Un usuario que interactúa con un paquete Next.js envenenado a través de un sitio web puede firmar una transacción directamente en la billetera de un atacante.
Vercel reveló el incidente en un boletín de seguridad del domingo, diciendo que había encontrado "acceso no autorizado a ciertos sistemas internos de Vercel" y que ya había contactado a las autoridades.
Nuestra investigación está en curso. Mientras tanto, hemos actualizado el boletín de seguridad con las mejores prácticas que puede seguir para su tranquilidad: https://t.co/u8ImZikeZl
– Vercel (@vercel) 19 de abril de 2026
Tras la divulgación, el usuario de X y CTO de Cork Protocol, "Pybast", que también es ex CTO de la empresa de ciberseguridad DeFi Nefture, advirtió a los usuarios que dejaran de interactuar con "cualquier aplicación DeFi", y añadió que "gran parte de DeFi está alojada en Vercel y los usuarios de criptomonedas son un objetivo principal para dicho ataque".
Curiosamente, sugirió eth.limo, que también tuvo su propio incidente de seguridad el mismo día, como una alternativa más segura.
Next.js obtuvo 520 millones de descargas en 2025, según Rauch. Los paneles de DeFi, los conectores de billeteras criptográficas y las plataformas de lanzamiento de tokens lo utilizan.
A los miembros de la comunidad criptográfica les preocupaba que el hacker pudiera usar las credenciales de Vercel para enviar código malicioso a dependencias extraídas de miles de proyectos posteriores.
Rauch nombró a Mandiant, el brazo de respuesta a incidentes de Google, como la empresa que ayudará con la respuesta a incidentes.
Sólo un "subconjunto limitado de clientes" se vio afectado, afirmó Rauch, y los servicios siguieron operativos.
DeFi aterrorizado tras la violación de Vercel
Una captura de pantalla del aviso de rescate, publicada por BleepingComputer, anuncia múltiples cuentas de empleados, implementaciones internas, claves API y tokens de GitHub.
El proveedor adjuntó cientos de registros de empleados, una captura de pantalla de la instancia interna de Linear de Vercel y lo que parece ser un panel interno de la empresa.
BleepingComputer no pudo verificar su autenticidad.
Curiosamente, los actores de amenazas vinculados al equipo de extorsión de ShinyHunters le dijeron a BleepingComputer que no tenían nada que ver con esta travesura en particular.