La violation de Vercel laisse les interfaces DeFi suspendues à une rançon de 2 millions de dollars
Il a été conseillé aux utilisateurs de cesser d'interagir avec toute application DeFi pendant quelques jours après que Vercel, le créateur de Next.js et fournisseur de cloud pour un grand nombre de plates-formes de cryptographie destinées aux utilisateurs, a admis que des attaquants avaient violé ses systèmes internes.
Selon Guillermo Rauch, PDG de Vercel, l'attaque s'est produite lorsqu'un de ses employés "a été compromis via la violation d'une plate-forme d'IA cliente appelée Context.ai qu'il utilisait".
Les attaquants, qui, selon Rauch, ont été « considérablement accélérés par l’IA », se sont apparemment propagés via le compte Google Workspace de l’employé jusqu’à l’environnement d’entreprise de Vercel.
Un vendeur de BreachForums prétendant être l'équipe d'extorsion ShinyHunters exige une rançon de 2 millions de dollars via une liste qui comprendrait des jetons GitHub.
Pour DeFi, l’incident est un cauchemar. Un utilisateur interagissant avec un package Next.js empoisonné via un site Web peut signer une transaction directement dans le portefeuille d'un attaquant.
Vercel a révélé l'incident dans un bulletin de sécurité de dimanche, affirmant avoir découvert « un accès non autorisé à certains systèmes internes de Vercel » et avoir déjà engagé les forces de l'ordre.
Notre enquête est en cours. En attendant, nous avons mis à jour le bulletin de sécurité avec les meilleures pratiques que vous pouvez suivre pour plus de tranquillité d'esprit : https://t.co/u8ImZikeZl
– Vercel (@vercel) 19 avril 2026
Suite à la divulgation, l'utilisateur X et CTO du protocole de Cork « Pybast », qui est également ancien CTO de la société de cybersécurité DeFi Nefture, a averti les utilisateurs de cesser d'interagir avec « toute application DeFi », ajoutant qu'« une grande partie de DeFi est hébergée sur Vercel et les utilisateurs de crypto sont une cible privilégiée pour une telle attaque ».
De manière comique, il a suggéré eth.limo, qui a également connu son propre incident de sécurité le même jour, comme alternative plus sûre.
Next.js a autorisé 520 millions de téléchargements en 2025, selon Rauch. Les tableaux de bord DeFi, les connecteurs de portefeuille cryptographique et les rampes de lancement de jetons l'utilisent.
Les membres de la communauté cryptographique craignaient que le pirate informatique puisse utiliser les informations d'identification Vercel pour transmettre du code malveillant vers des dépendances extraites de milliers de projets en aval.
Rauch a nommé Mandiant, la branche de réponse aux incidents de Google, comme société aidant à la réponse aux incidents.
Seul un « sous-ensemble limité de clients » a été concerné, a affirmé Rauch, et les services sont restés opérationnels.
DeFi terrifié après la violation de Vercel
Une capture d'écran de l'avis de rançon, publiée par BleepingComputer, annonce plusieurs comptes d'employés, des déploiements internes, des clés API et des jetons GitHub.
Le fournisseur a joint des centaines de dossiers d’employés, une capture d’écran de l’instance linéaire interne de Vercel et ce qui semble être un tableau de bord interne de l’entreprise.
BleepingComputer n'a pas pu vérifier leur authenticité.
Curieusement, des acteurs menaçants liés à l'équipe d'extorsion de ShinyHunters ont déclaré à BleepingComputer qu'ils n'avaient rien à voir avec cette affaire particulière.