Binance پلیٹ فارم، Vercel سپلائی چین کی خلاف ورزی کے بعد محفوظ فنڈز کا کہنا ہے کہ
Binance کا کہنا ہے کہ Vercel کے $2m ڈیٹا کی خلاف ورزی کے بعد صارفین اور فنڈز محفوظ ہیں، اس بات کی نشاندہی کرتے ہوئے کہ کس طرح ایک SaaS سمجھوتہ Web3 فرنٹ اینڈ پر لہرا سکتا ہے۔
کرپٹو ایکو سسٹم میں وسیع پیمانے پر استعمال ہونے والے کلاؤڈ ہوسٹنگ اور فرنٹ اینڈ ڈیپلائمنٹ پلیٹ فارم Vercel نے ایک "محدود" سیکیورٹی واقعے کا انکشاف کیا جب حملہ آوروں نے کچھ اندرونی سسٹمز تک غیر مجاز رسائی حاصل کی اور مبینہ اندرونی ڈیٹا کو $2 ملین میں فروخت کے لیے پیش کرنا شروع کیا۔ واقعہ کے خلاصے کے مطابق، زیر زمین فورمز پر مشتہر کردہ ڈیٹا سیٹ میں مبینہ طور پر اندرونی ڈیٹا بیس، رسائی کیز، سورس کوڈ، ملازم اکاؤنٹس، API کیز، NPM ٹوکنز، اور GitHub ٹوکن شامل ہیں، ہیکرز کا دعویٰ ہے کہ اسے "عالمی سپلائی چین حملوں" کے لیے استعمال کیا جا سکتا ہے۔
ورسل نے کہا کہ خدمات کام کرتی رہتی ہیں اور صارفین کا صرف ایک "محدود ذیلی سیٹ" متاثر ہوتا ہے، لیکن اس نے ٹیموں پر زور دیا ہے کہ وہ راز کو گھمائیں اور قانون نافذ کرنے والے اور بیرونی واقعات کے ردعمل کے ماہرین کے ساتھ مل کر کام کر رہے ہیں۔ کمپنی نے تیسری پارٹی کے AI ٹول سے تعلق رکھنے والی سمجھوتہ شدہ Google Workspace OAuth ایپلیکیشن میں مداخلت کا سراغ لگایا، جس نے اپ اسٹریم SaaS کی خلاف ورزی کے طور پر شروع ہونے والی چیز کو Vercel پر منحصر کسی بھی پروجیکٹ کے لیے نیچے کی دھارے کے بنیادی ڈھانچے کے مسئلے میں تبدیل کردیا۔
بائننس ردعمل اور ماحولیاتی نظام کا اثر
Binance، جو کہ کچھ فرنٹ اینڈ پرزوں کے لیے Vercel پر انحصار کرتا ہے، صارفین کے اعصاب کو پرسکون کرنے کے لیے تیزی سے حرکت میں آیا کیونکہ خلاف ورزی کی تفصیلات مارکیٹ میں گردش کر رہی تھیں۔ بائننس کی سیکیورٹی اپ ڈیٹ کے مطابق، ورسیل واقعے سے ایکسچینج کا "پلیٹ فارم اور صارف کے اثاثے متاثر نہیں ہوئے"، اور اس کی سیکیورٹی ٹیم نے "تمام بائنانس فرنٹ اینڈ پروڈکٹس" میں ممکنہ نمائش کا اندازہ لگانے کے لیے ہنگامی ردعمل کا آغاز کیا۔ ایکسچینج نے کہا کہ اس نے خلاف ورزی کے دائرہ کار کی توثیق کرنے کے لئے براہ راست Vercel سے رابطہ کیا اور کسی بھی سمجھوتہ کی علامات کی نگرانی کرتے ہوئے اندرونی خطرے کی تشخیص مکمل کی۔
Vercel کے چیف ایگزیکٹو Guillermo Rauch نے اس بات پر زور دیا کہ فرم نے "ہماری سپلائی چین کا تجزیہ کیا ہے" اور یہ کہ Next.js اور Turbopack جیسے بنیادی اوپن سورس پروجیکٹس ڈویلپرز کے لیے محفوظ ہیں، یہاں تک کہ اندرونی نظام کی خلاف ورزی کی تحقیقات جاری ہیں۔ بہر حال، Vercel بہت سے DeFi پروٹوکولز، ایکسچینجز اور Web3 انفراسٹرکچر فراہم کنندگان کے لیے فرنٹ اینڈ کے پیچھے بیٹھا ہے، سیکیورٹی محققین نے خبردار کیا ہے کہ اس ایپی سوڈ سے ممکنہ طور پر پورے شعبے میں خفیہ گردشوں، اسناد کے آڈٹ اور تعیناتی کے جائزوں کی لہر شروع ہو سکتی ہے کیونکہ ٹیمیں اس بات کا دوبارہ جائزہ لیتے ہیں کہ وہ مشترکہ ہوسٹنگ فراہم کرنے والوں پر کتنا اعتماد رکھتے ہیں۔
حملہ آوروں کے ساتھ سپلائی چین حملوں کے لیے اسپرنگ بورڈ کے طور پر Vercel کے مبینہ اندرونی ڈیٹا کی واضح طور پر مارکیٹنگ کرتے ہوئے، یہ واقعہ اس بات پر روشنی ڈالتا ہے کہ کس طرح ایک ہی سمجھوتہ شدہ SaaS انضمام درجنوں کرپٹو پروجیکٹس کو ایک ساتھ لے جا سکتا ہے۔ ابھی کے لیے، کسی بڑے بلاکچین پلیٹ فارم نے عوامی طور پر براہ راست اثر کی تصدیق نہیں کی ہے، لیکن تبادلے اور پروٹوکول ٹیموں کو ان کے اپنے واقعے کے جوابی پلے بکس اور فریق ثالث کے خطرے کے بارے میں مفروضوں کے لائیو فائر ٹیسٹ میں دھکیل دیا جا رہا ہے۔